Megosztás a következőn keresztül:

Service Fabric-fürt üzembe helyezése az Azure Stack Hubban

  • Cikk

A Azure Marketplace Service Fabric-fürtelemével biztonságos Service Fabric-fürtöt helyezhet üzembe az Azure Stack Hubban.

A Service Fabric használatával kapcsolatos további információkért lásd: Az Azure Service Fabric és a Service Fabric fürtbiztonsági forgatókönyveinek áttekintése az Azure dokumentációjában.

Az Azure Stack Hub Service Fabric-fürtje nem használja a Microsoft.ServiceFabric erőforrás-szolgáltatót. Ehelyett az Azure Stack Hubban a Service Fabric-fürt egy előre telepített szoftverrel rendelkező virtuálisgép-méretezési csoport Desired State Configuration (DSC) használatával.

Előfeltételek

A Service Fabric-fürt üzembe helyezéséhez a következőkre van szükség:

  1. Fürttanúsítvány
    Ez az X.509-kiszolgálótanúsítvány, amelyet a Service Fabric telepítésekor Key Vault ad hozzá.

    • A tanúsítvány cn-jének meg kell egyeznie a létrehozott Service Fabric-fürt teljes tartománynevével (FQDN).

    • A tanúsítvány formátumának PFX-nek kell lennie, mivel a nyilvános és a titkos kulcsra is szükség van. Lásd a kiszolgálóoldali tanúsítvány létrehozásának követelményeit .

      Megjegyzés

      Tesztelési célokra használhat önaláírt tanúsítványt az X.509-kiszolgálótanúsítvány helyett. Az önaláírt tanúsítványoknak nem kell egyeznie a fürt teljes tartománynevével.

  2. Rendszergazda ügyféltanúsítvány
    Ez az a tanúsítvány, amelyet az ügyfél a Service Fabric-fürt hitelesítésére használ, amely önaláírt lehet. Tekintse meg az ügyféltanúsíték létrehozásának követelményeit .

  3. A következő elemeknek elérhetőnek kell lenniük az Azure Stack Hub Marketplace-en:

    • Windows Server 2016 – A sablon a Windows Server 2016 lemezképet használja a fürt létrehozásához.
    • Egyéni szkriptbővítmény – Virtuálisgép-bővítmény a Microsofttól.
    • PowerShell kívánt fáziskonfiguráció – Virtuálisgép-bővítmény a Microsofttól.

Titkos kulcs hozzáadása a Key Vaulthoz

Service Fabric-fürt üzembe helyezéséhez meg kell adnia a Service Fabric-fürt megfelelő Key Vault titkos kódazonosítót vagy URL-címet. Az Azure Resource Manager-sablon bemenetként egy Key Vault vesz igénybe. Ezután a sablon lekéri a fürttanúsítványt a Service Fabric-fürt telepítésekor.

Fontos

A Service Fabric használatához a PowerShell használatával kell titkos kulcsot hozzáadnia a Key Vault. Ne használja a portált.

Az alábbi szkripttel hozza létre a Key Vault, és adja hozzá a fürttanúsítványt. (Lásd az előfeltételeket.) A szkript futtatása előtt tekintse át a mintaszkriptet, és frissítse a megadott paramétereket a környezetnek megfelelően. Ez a szkript az Azure Resource Manager-sablonhoz szükséges értékeket is megjeleníti.

Tipp

Ahhoz, hogy a szkript sikeres legyen, nyilvános ajánlatnak kell lennie, amely tartalmazza a Compute, a Network, a Storage és a Key Vault szolgáltatásait.

   function Get-ThumbprintFromPfx($PfxFilePath, $Password) 
      {
         return New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($PfxFilePath, $Password)
      }
   
   function Publish-SecretToKeyVault ($PfxFilePath, $Password, $KeyVaultName)
      {
         $keyVaultSecretName = "ClusterCertificate"
         $certContentInBytes = [io.file]::ReadAllBytes($PfxFilePath)
         $pfxAsBase64EncodedString = [System.Convert]::ToBase64String($certContentInBytes)
   
         $jsonObject = ConvertTo-Json -Depth 10 ([pscustomobject]@{
               data     = $pfxAsBase64EncodedString
               dataType = 'pfx'
               password = $Password
         })
   
         $jsonObjectBytes = [System.Text.Encoding]::UTF8.GetBytes($jsonObject)
         $jsonEncoded = [System.Convert]::ToBase64String($jsonObjectBytes)
         $secret = ConvertTo-SecureString -String $jsonEncoded -AsPlainText -Force
         $keyVaultSecret = Set-AzureKeyVaultSecret -VaultName $KeyVaultName -Name $keyVaultSecretName -SecretValue $secret
         
         $pfxCertObject = Get-ThumbprintFromPfx -PfxFilePath $PfxFilePath -Password $Password
   
         Write-Host "KeyVault id: " -ForegroundColor Green
         (Get-AzKeyVault -VaultName $KeyVaultName).ResourceId
         
         Write-Host "Secret Id: " -ForegroundColor Green
         (Get-AzureKeyVaultSecret -VaultName $KeyVaultName -Name $keyVaultSecretName).id
   
         Write-Host "Cluster Certificate Thumbprint: " -ForegroundColor Green
         $pfxCertObject.Thumbprint
      }
   
   #========================== CHANGE THESE VALUES ===============================
   $armEndpoint = "https://management.local.azurestack.external"
   $tenantId = "your_tenant_ID"
   $location = "local"
   $clusterCertPfxPath = "Your_path_to_ClusterCert.pfx"
   $clusterCertPfxPassword = "Your_password_for_ClusterCert.pfx"
   #==============================================================================
   
   Add-AzEnvironment -Name AzureStack -ARMEndpoint $armEndpoint
   Connect-AzAccount -Environment AzureStack -TenantId $tenantId
   
   $rgName = "sfvaultrg"
   Write-Host "Creating Resource Group..." -ForegroundColor Yellow
   New-AzResourceGroup -Name $rgName -Location $location
   
   Write-Host "Creating Key Vault..." -ForegroundColor Yellow
   $Vault = New-AzKeyVault -VaultName sfvault -ResourceGroupName $rgName -Location $location -EnabledForTemplateDeployment -EnabledForDeployment -EnabledForDiskEncryption
   
   Write-Host "Publishing certificate to Vault..." -ForegroundColor Yellow
   Publish-SecretToKeyVault -PfxFilePath $clusterCertPfxPath -Password $clusterCertPfxPassword -KeyVaultName $vault.VaultName

További információ: Key Vault kezelése az Azure Stack Hubon a PowerShell-lel.

A Marketplace-elem üzembe helyezése

  1. A felhasználói portálon lépjen a + Erőforrás> létrehozásaCompute>Service Fabric-fürt elemre.

    Service Fabric-fürt kiválasztása

  2. Az egyes lapokhoz (például az Alapszintű beállításokhoz) töltse ki az üzembe helyezési űrlapot. Ha nem biztos az értékben, használja az alapértelmezett értékeket.

    A leválasztott Azure Stack Hubra vagy a Service Fabric egy másik verziójának üzembe helyezéséhez töltse le a Service Fabric üzembehelyezési csomagot és annak megfelelő futtatókörnyezeti csomagját, és tárolja azt egy Azure Stack Hub-blobon. Adja meg ezeket az értékeket a Service Fabric üzembehelyezési csomagJÁNAK URL-címéhez és a Service Fabric futtatókörnyezeti csomag URL-címének mezőihez.

    Megjegyzés

    Kompatibilitási problémák merülnek fel a Service Fabric legújabb kiadása és a hozzá tartozó SDK között. A probléma megoldásáig adja meg az alábbi paramétereket az üzembehelyezési csomag URL-címéhez és a futtatókörnyezeti csomag URL-címéhez. Az üzemelő példányok máskülönben sikertelenek lesznek.

    Leválasztott üzemelő példányok esetén töltse le ezeket a csomagokat a megadott helyről, és tárolja helyileg egy Azure Stack Hub-blobon.

    Alapvető beállítások

  3. A Hálózati beállítások lapon megadhatja, hogy mely portok nyíljanak meg az alkalmazások számára:

    Hálózati beállítások

  4. A Biztonság lapon adja hozzá az Azure Key Vault létrehozásához és a titkos kód feltöltéséhez kapott értékeket.

    Az Rendszergazda ügyféltanúsítvány ujjlenyomatához adja meg a Rendszergazda ügyféltanúsítvány ujjlenyomatát. (Lásd az előfeltételeket.)

    • Forrás Key Vault: Adja meg a teljes sztringet keyVault id a szkript eredményeiből.
    • Fürttanúsítvány URL-címe: Adja meg a teljes URL-címet a Secret Id szkript eredményeiből.
    • Fürttanúsítvány ujjlenyomata: Adja meg a fürttanúsítvány ujjlenyomatát a szkript eredményeiből.
    • Kiszolgálótanúsítvány URL-címe: Ha a fürttanúsítványtól eltérő tanúsítványt szeretne használni, töltse fel a tanúsítványt egy kulcstartóba, és adja meg a titkos kód teljes URL-címét.
    • Kiszolgálótanúsítvány ujjlenyomata: Adja meg a kiszolgálótanúsítvány ujjlenyomatát
    • Rendszergazda ügyféltanúsítvány ujjlenyomatai: Adja meg az előfeltételekben létrehozott Rendszergazda ügyféltanúsítvány ujjlenyomatát.

    Szkript kimenete

    Biztonság

  5. Fejezze be a varázslót, majd válassza a Létrehozás lehetőséget a Service Fabric-fürt üzembe helyezéséhez.

A Service Fabric-fürt elérése

A Service Fabric-fürtöt a Service Fabric Explorer vagy a Service Fabric PowerShell használatával érheti el.

Service Fabric Explorer használata

  1. Győződjön meg arról, hogy a böngésző hozzáfér az Rendszergazda ügyféltanúsítványhoz, és hitelesítheti magát a Service Fabric-fürtben.

    a. Nyissa meg az Internet Explorert, és lépjen az Internetbeállítások>tartalomtanúsítványok> elemre.

    b. A Tanúsítványok területen válassza az Importálás lehetőséget a Tanúsítványimportálás varázsló elindításához, majd kattintson a Tovább gombra. Az Importálandó fájl lapon kattintson a Tallózás gombra, és válassza ki az Azure Rendszergazda Resource Manager-sablonhoz megadott ügyféltanúsítványt.

    Megjegyzés

    Ez a tanúsítvány nem az Key Vault korábban hozzáadott fürttanúsítvány.

    c. Győződjön meg arról, hogy a Fájlkezelő ablak bővítmény legördülő menüjében a "Személyes információcsere" lehetőség van kiválasztva.

    Személyes információcsere

    d. A Tanúsítványtároló lapon válassza a Személyes lehetőséget, majd fejezze be a varázslót.
    Tanúsítványtárolójába

  2. A Service Fabric-fürt teljes tartománynevének megkeresése:

    a. Nyissa meg a Service Fabric-fürthöz társított erőforráscsoportot, és keresse meg a Nyilvános IP-cím erőforrást. Válassza ki a nyilvános IP-címhez társított objektumot a Nyilvános IP-cím panel megnyitásához.

    Nyilvános IP-cím

    b. A Nyilvános IP-cím panelen az FQDN DNS-névként jelenik meg.

    DNS-név

  3. A Service Fabric Explorer URL-címének és az ügyfélkapcsolat végpontjának megkereséséhez tekintse át a sablon üzembe helyezésének eredményeit.

  4. Nyissa meg a https://*FQDN*:19080 URL-címet a böngészőben. Cserélje le az FQDN-t a Service Fabric-fürt teljes tartománynevére a 2. lépésben.
    Ha önaláírt tanúsítványt használt, figyelmeztetést kap arról, hogy a kapcsolat nem biztonságos. Ha tovább szeretne lépni a webhelyre, válassza a További információ lehetőséget, majd nyissa meg a weblapot.

  5. A webhelyen való hitelesítéshez ki kell választania egy használni kívánt tanúsítványt. Válassza a További lehetőségek lehetőséget, válassza ki a megfelelő tanúsítványt, majd kattintson az OK gombra a Service Fabric Explorer való csatlakozáshoz.

    Hitelesítés

A Service Fabric PowerShell használata

  1. Telepítse a Microsoft Azure Service Fabric SDK-ta Fejlesztési környezet előkészítése Windows rendszeren című témakörből az Azure Service Fabric dokumentációjában.

  2. A telepítés befejezése után konfigurálja a rendszer környezeti változóit, hogy a Service Fabric-parancsmagok elérhetők legyenek a PowerShellből.

    a. Lépjen a Vezérlőpult>Rendszer és biztonsági>rendszer területre, majd válassza a Speciális rendszerbeállítások lehetőséget.

    Vezérlőpult

    b. A RendszertulajdonságokSpeciális lapján válassza a Környezeti változók lehetőséget.

    c. Rendszerváltozók esetén szerkessze az Elérési utat, és győződjön meg arról, hogy a C:\Program Files\Microsoft Service Fabric\bin\Fabric\Fabric.Code a környezeti változók listájának tetején található.

    Környezeti változók listája

  3. A környezeti változók sorrendjének módosítása után indítsa újra a PowerShellt, majd futtassa a következő PowerShell-szkriptet a Service Fabric-fürthöz való hozzáféréshez:

     Connect-ServiceFabricCluster -ConnectionEndpoint "\[Service Fabric
 CLUSTER FQDN\]:19000" \`

 -X509Credential -ServerCertThumbprint
 761A0D17B030723A37AA2E08225CD7EA8BE9F86A \`

 -FindType FindByThumbprint -FindValue
 0272251171BA32CEC7938A65B8A6A553AA2D3283 \`

 -StoreLocation CurrentUser -StoreName My -Verbose

    Megjegyzés

    Nincs https:// a fürt neve előtt a szkriptben. Az 19000-s port szükséges.

Következő lépések

A Kubernetes üzembe helyezése az Azure Stack Hubban