Hálózat
Az Azure Service Fabric-fürtök létrehozása és kezelése közben hálózati kapcsolatot biztosít a csomópontokhoz és alkalmazásokhoz. A hálózati erőforrások közé tartoznak az IP-címtartományok, a virtuális hálózatok, a terheléselosztók és a hálózati biztonsági csoportok. Ebben a cikkben megismerheti az erőforrások ajánlott eljárásait.
Tekintse át az Azure Service Fabric hálózatkezelési mintáit , és ismerje meg, hogyan hozhat létre olyan fürtöket, amelyek a következő funkciókat használják: meglévő virtuális hálózat vagy alhálózat, statikus nyilvános IP-cím, csak belső terheléselosztó vagy belső és külső terheléselosztó.
Infrastruktúra-hálózatkezelés
Maximalizálja a virtuális gép teljesítményét a gyorsított hálózatkezeléssel. Az enableAcceleratedNetworking tulajdonság Resource Manager-sablonban való deklarálásával az alábbi kódrészlet egy networkInterfaceConfiguration virtuálisgép-méretezési csoportból áll, amely lehetővé teszi a gyorsított hálózatkezelést:
"networkInterfaceConfigurations": [
{
"name": "[concat(variables('nicName'), '-0')]",
"properties": {
"enableAcceleratedNetworking": true,
"ipConfigurations": [
{
<snip>
}
],
"primary": true
}
}
]
A Service Fabric-fürt linuxos gyorsított hálózatkezeléssel, a Windows pedig gyorsított hálózatkezeléssel építhető ki.
A gyorsított hálózatkezelés az Azure Virtual Machine Series termékváltozatai esetében támogatott: D/DSv2, D/DSv3, E/ESv3, F/FS, FSv2 és Ms/Mms. A gyorsított hálózatkezelést sikeresen tesztelték a Standard_DS8_v3 termékváltozat használatával 2019.01.23-án Service Fabric Windows-fürt esetén, és Standard_DS12_v2 2019. 01. 29-én Service Fabric Linux-fürthöz. Vegye figyelembe, hogy a gyorsított hálózatkezeléshez legalább 4 virtuális processzor szükséges.
Ha egy meglévő Service Fabric-fürt gyorsított hálózatkezelését szeretné engedélyezni, először ki kell skáláznia egy Service Fabric-fürtöt egy virtuálisgép-méretezési csoport hozzáadásával a következő lépések végrehajtásához:
- NodeType kiépítése gyorsított hálózatkezeléssel
- Szolgáltatások és állapotuk áttelepítése a kiépített NodeType-ba gyorsított hálózatkezeléssel
A gyorsított hálózatkezelés meglévő fürtön való engedélyezéséhez szükség van az infrastruktúra horizontális felskálázására, mert a gyorsított hálózatkezelés engedélyezése leállást okozna, mivel a rendelkezésre állási csoportban lévő összes virtuális gép leállítása és felszabadítása szükséges, mielőtt engedélyezné a gyorsított hálózatkezelést bármely meglévő hálózati adapteren.
Fürthálózat
A Service Fabric-fürtök üzembe helyezhetők egy meglévő virtuális hálózatban a Service Fabric hálózati mintáiban ismertetett lépések végrehajtásával.
A hálózati biztonsági csoportok (NSG-k) használata javasolt a csomóponttípusok számára a fürt felé irányuló bejövő és kimenő forgalom korlátozásához. Győződjön meg arról, hogy a szükséges portok meg vannak nyitva az NSG-ben.
A Service Fabric rendszerszolgáltatásokat tartalmazó elsődleges csomóponttípusnak nem kell a külső terheléselosztón keresztül kitéve lennie, és egy belső terheléselosztó is elérhetővé teheti
Használjon statikus nyilvános IP-címet a fürthöz.
Hálózati biztonsági szabályok
A következő leírt szabályok egy tipikus konfigurációhoz ajánlott minimumot jelentenek. Azt is belefoglaljuk, hogy milyen szabályok kötelezőek az operatív fürtökhöz, ha a választható szabályok nem szükségesek. Teljes körű biztonsági zárolást tesz lehetővé a hálózati társviszony-létesítéssel és a jumpboxokkal kapcsolatos fogalmakkal, például az Azure Bastionnal. A kötelező portok megnyitásának vagy az IP/URL-cím jóváhagyásának elmulasztása megakadályozza a fürt megfelelő működését, és előfordulhat, hogy nem támogatott.
Bejövő
| Prioritás | Név | Kikötő | Protokoll | Forrás | Cél | Művelet | Kötelező |
|---|---|---|---|---|---|---|---|
| 3900 | Azure Portal | 19080 | TCP | ServiceFabric | Bármely | Engedélyezés | Igen |
| 3910 | Ügyfél API | 19000 | TCP | Internet | Bármely | Engedélyezés | Nem |
| 3920 | SFX + Ügyfél API | 19080 | TCP | Internet | Bármely | Engedélyezés | Nem |
| 3930 | Fürt | 1025-1027 | TCP | VirtualNetwork | Bármely | Engedélyezés | Igen |
| 3940 | Efemer | 49152-65534 | TCP | VirtualNetwork | Bármely | Engedélyezés | Igen |
| 3950 | Alkalmazás | 20000-30000 | TCP | VirtualNetwork | Bármely | Engedélyezés | Igen |
| 3960 | RDP | 3389 | TCP | Internet | Bármelyik | Megtagadás | Nem |
| 3970 | SSH | 22 | TCP | Internet | Bármelyik | Megtagadás | Nem |
| 3980 | Egyéni végpont | 443 | TCP | Internet | Bármelyik | Megtagadás | Nem |
További információ a bejövő biztonsági szabályokról:
Azure Portal. A Service Fabric-erőforrás-szolgáltató ezt a portot használja a fürt adatainak lekérdezésére, hogy megjelenjenek az Azure Management Portalon. Ha ez a port nem érhető el a Service Fabric-erőforrás-szolgáltatótól, egy üzenet jelenik meg, például a "Csomópontok nem találhatók" vagy az "UpgradeServiceNotReachable" üzenet az Azure Portalon, és a csomópont- és alkalmazáslista üresen jelenik meg. Ez azt jelenti, hogy ha láthatóvá szeretné tenni a fürtöt az Azure Management Portalon, akkor a terheléselosztónak nyilvános IP-címet kell elérhetővé tennie, és az NSG-nek engedélyeznie kell a bejövő 19080-es forgalmat. Ez a port a Service Fabric-erőforrás-szolgáltató kiterjesztett felügyeleti műveleteihez ajánlott a nagyobb megbízhatóság biztosítása érdekében.
Ügyfél API. A PowerShell által használt API-k ügyfélkapcsolati végpontja.
SFX + Client API. A Service Fabric Explorer ezt a portot használja a fürt tallózásához és kezeléséhez. A leggyakrabban használt API-k, például a REST/PowerShell (Microsoft.ServiceFabric.PowerShell.Http)/CLI/.NET ugyanúgy használják.
Fürt. Csomópontok közötti kommunikációhoz használatos.
Rövidesen. A Service Fabric ezen portok egy részét alkalmazásportként használja, a többi pedig az operációs rendszerhez érhető el. Ezt a tartományt az operációs rendszerben található meglévő tartományra is leképezi, így minden célra használhatja az itt található mintában megadott tartományokat. Győződjön meg arról, hogy a kezdő és a végpont közötti különbség legalább 255. Ütközések ütközhetnek, ha ez a különbség túl alacsony, mert ez a tartomány meg van osztva az operációs rendszerrel. A konfigurált dinamikus porttartomány megtekintéséhez futtassa a netsh int ipv4 show dynamicport tcp parancsot. Ezekre a portokra nincs szükség Linux-fürtök esetén.
Alkalmazás. Az alkalmazásport-tartománynak elég nagynak kell lennie ahhoz, hogy lefedje az alkalmazások végpontkövetelményeit. Ennek a tartománynak kizárólagosnak kell lennie a gép dinamikus porttartományából, vagyis a konfigurációban beállított rövid élettartamtartományból. A Service Fabric ezeket a portokat használja, amikor új portokra van szükség, és gondoskodik a tűzfal megnyitásáról ezeken a portokon a csomópontokon.
RDP. Nem kötelező, ha az internetről vagy a VirtualNetworkből van szükség RDP-ra a jumpbox-forgatókönyvekhez.
SSH. Nem kötelező, ha az internetről vagy a VirtualNetworkből van szükség SSH-ra a jumpbox-forgatókönyvekhez.
Egyéni végpont. Példa az alkalmazás számára az internethez elérhető végpont engedélyezéséhez.
Feljegyzés
Az internetet forrásként tartalmazó legtöbb szabály esetében fontolja meg, hogy a CIDR-blokk által ideálisan definiált ismert hálózatra korlátozódjon.
Kimenő
| Prioritás | Név | Kikötő | Protokoll | Forrás | Cél | Művelet | Kötelező |
|---|---|---|---|---|---|---|---|
| 4010 | Erőforrás-szolgáltató | 443 | TCP | Bármely | ServiceFabric | Engedélyezés | Igen |
| 4020 | Bináris fájlok letöltése | 443 | TCP | Bármely | AzureFrontDoor.FirstParty | Engedélyezés | Igen |
További információ a kimenő biztonsági szabályokról:
Erőforrás-szolgáltató. Kapcsolat az UpgradeService és a Service Fabric erőforrás-szolgáltató között olyan felügyeleti műveletek fogadásához, mint az ARM-üzemelő példányok vagy a kötelező műveletek, például a magcsomópont kiválasztása vagy az elsődleges csomóponttípus frissítése.
Bináris fájlok letöltése. A frissítési szolgáltatás a bináris fájlok beszerzéséhez használja a cím download.microsoft.com, ez a kapcsolat a beállításhoz, az újraképhez és a futtatókörnyezet frissítéséhez szükséges. Egy "csak belső" terheléselosztó esetében egy további külső terheléselosztót kell hozzáadni egy olyan szabálysal, amely engedélyezi a kimenő forgalmat a 443-as porton. Ezt a portot a sikeres telepítés után is letilthatja, de ebben az esetben a frissítési csomagot el kell osztani a csomópontokon, vagy a portot rövid ideig meg kell nyitni, majd manuális frissítésre van szükség.
Az Azure Firewall használatával NSG-folyamatnaplót és forgalomelemzést használhat a csatlakozási problémák nyomon követéséhez. Az ARM-sablon Service Fabric és az NSG jó példa a kezdésre.
Feljegyzés
Az alapértelmezett hálózati biztonsági szabályokat nem szabad felülírni, mivel biztosítják a csomópontok közötti kommunikációt. Hálózati biztonsági csoport – Annak működése. Egy másik példa: a visszavont tanúsítványok listájának ellenőrzéséhez kimenő kapcsolatra van szükség a 80-as porton.
Gyakori forgatókönyvek, amelyekre további szabályokra van szükség
Minden további forgatókönyvet azure-szolgáltatáscímkékkel lehet lefedni.
Azure DevOps
Az Azure DevOps (Szolgáltatáscímke: AzureCloud) klasszikus PowerShell-feladatainak ügyfél API-hozzáférésre van szükségük a fürthöz, ilyenek például az alkalmazástelepítések vagy az üzemeltetési feladatok. Ez nem vonatkozik csak az ARM-sablonok megközelítésére, beleértve az ARM-alkalmazások erőforrásait is.
| Prioritás | Név | Kikötő | Protokoll | Forrás | Cél | Művelet | Irány |
|---|---|---|---|---|---|---|---|
| 3915 | Azure DevOps | 19000 | TCP | AzureCloud | Bármely | Engedélyezés | Bejövő |
A Windows frissítése
A Windows operációs rendszer javításának ajánlott eljárása az operációs rendszer lemezének automatikus operációsrendszer-lemezkép-frissítéssel történő cseréje, nincs szükség további szabályra. A Patch Orchestration alkalmazás a virtuális gépeken belüli frissítéseket kezeli, ahol a Windows Update operációsrendszer-javításokat alkalmaz. Ehhez hozzá kell férnie a letöltőközponthoz (szolgáltatáscímke: AzureUpdateDelivery) a frissítés bináris fájljainak letöltéséhez.
| Prioritás | Név | Kikötő | Protokoll | Forrás | Cél | Művelet | Irány |
|---|---|---|---|---|---|---|---|
| 4015 | Windows-frissítések | 443 | TCP | Bármely | AzureUpdateDelivery | Engedélyezés | Kimenő |
API Management
Az Azure API Management (szolgáltatáscímke: ApiManagement) integrációjához ügyfél API-hozzáférésre van szükség a fürt végpontadatainak lekérdezéséhez.
| Prioritás | Név | Kikötő | Protokoll | Forrás | Cél | Művelet | Irány |
|---|---|---|---|---|---|---|---|
| 3920 | API Management | 19080 | TCP | ApiManagement | Bármely | Engedélyezés | Bejövő |
Alkalmazás-hálózatkezelés
A Windows-tárolók számítási feladatainak futtatásához használja a nyílt hálózatkezelési módot a szolgáltatásközi kommunikáció megkönnyítéséhez.
Használjon fordított proxyt, például a Traefiket vagy a Service Fabric fordított proxyt az olyan gyakori alkalmazásportok közzétételéhez, mint a 80 vagy a 443.
Olyan, levegővel ellátott gépeken üzemeltetett Windows-tárolók esetében, amelyek nem tudnak alaprétegeket lekérni az Azure cloud storage-ból, bírálja felül az idegen réteg viselkedését a Docker-démon --allow-nondistributable-artifacts jelzőjének használatával.
Következő lépések
- Fürt létrehozása Windows Servert futtató virtuális gépeken vagy számítógépeken: Service Fabric-fürt létrehozása Windows Serverhez
- Fürt létrehozása Linux rendszerű virtuális gépeken vagy számítógépeken: Linux-fürt létrehozása
- A Service Fabric támogatási lehetőségeinek ismertetése