Service Fabric-fürt Resource Manager-sablon létrehozása
Az Azure Service Fabric-fürtök olyan virtuális gépek hálózattal csatlakoztatott készletei, amelyekbe a mikroszolgáltatások üzembe helyezése és felügyelete történik. Az Azure-ban futó Service Fabric-fürtök Egy Azure-erőforrás, amelyet a Resource Managerrel helyeznek üzembe, felügyelnek és figyelnek. Ez a cikk azt ismerteti, hogyan hozhat létre Resource Manager-sablont egy Azure-ban futó Service Fabric-fürthöz. Ha a sablon elkészült, üzembe helyezheti a fürtöt az Azure-ban.
A fürt biztonsága a fürt első beállításakor van konfigurálva, és később nem módosítható. Fürt beállítása előtt olvassa el a Service Fabric-fürt biztonsági forgatókönyveit. Az Azure-ban a Service Fabric x509-tanúsítvánnyal védi a fürtöt és annak végpontjait, hitelesíti az ügyfeleket, és titkosítja az adatokat. A Felügyeleti végpontokhoz való hozzáférés biztonságossá tételéhez a Microsoft Entra ID is ajánlott. A Microsoft Entra-bérlőket és -felhasználókat a fürt létrehozása előtt létre kell hozni. További információ: A Microsoft Entra-azonosító beállítása az ügyfelek hitelesítéséhez.
Mielőtt éles fürtöt helyez üzembe éles számítási feladatok futtatására, először olvassa el az éles üzemkészségi ellenőrzőlistát.
Feljegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Első lépésként tekintse meg az Azure PowerShell telepítését ismertető témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
A Resource Manager-sablon létrehozása
A Resource Manager-mintasablonok az Azure-mintákban érhetők el a GitHubon. Ezek a sablonok kiindulópontként használhatók a fürtsablonhoz.
Ez a cikk az ötcsomópontos biztonságos fürtsablont és sablonparamétereket használja. Töltse le azuredeploy.json és azuredeploy.parameters.json a számítógépre, és nyissa meg mindkét fájlt a kedvenc szövegszerkesztőjében.
Feljegyzés
A nemzeti felhők (Azure Government, Microsoft Azure által üzemeltetett 21Vianet, Azure Germany) esetében a következőt fabricSettings kell hozzáadnia a sablonhoz: AADLoginEndpointés AADTokenEndpointFormatAADCertEndpointFormat.
Tanúsítványok hozzáadása
A tanúsítványkulcsokat tartalmazó kulcstartóra hivatkozva tanúsítványokat adhat hozzá egy fürt Resource Manager-sablonhoz. Adja hozzá ezeket a kulcstartó-paramétereket és értékeket egy Resource Manager-sablonparaméterfájlban (azuredeploy.parameters.json).
Az összes tanúsítvány hozzáadása a virtuálisgép-méretezési csoporthoz osProfile
A fürtben telepített összes tanúsítványt konfigurálni kell a méretezési csoport erőforrásának osProfile szakaszában (Microsoft.Compute/virtualMachineScaleSets). Ez a művelet arra utasítja az erőforrás-szolgáltatót, hogy telepítse a tanúsítványt a virtuális gépekre. Ez a telepítés tartalmazza a fürttanúsítványt és az alkalmazásokhoz használni kívánt alkalmazásbiztonsági tanúsítványokat is:
{
"apiVersion": "[variables('vmssApiVersion')]",
"type": "Microsoft.Compute/virtualMachineScaleSets",
...
"properties": {
...
"osProfile": {
...
"secrets": [
{
"sourceVault": {
"id": "[parameters('sourceVaultValue')]"
},
"vaultCertificates": [
{
"certificateStore": "[parameters('clusterCertificateStorevalue')]",
"certificateUrl": "[parameters('clusterCertificateUrlValue')]"
},
{
"certificateStore": "[parameters('applicationCertificateStorevalue')",
"certificateUrl": "[parameters('applicationCertificateUrlValue')]"
},
...
]
}
]
}
}
}
A Service Fabric-fürttanúsítvány konfigurálása
A fürthitelesítési tanúsítványt a Service Fabric-fürterőforrásban (Microsoft.ServiceFabric/fürtök) és a virtuálisgép-méretezési csoport erőforrásában lévő virtuálisgép-méretezési csoportok Service Fabric-bővítményében is konfigurálni kell. Ez az elrendezés lehetővé teszi a Service Fabric-erőforrás-szolgáltató számára, hogy konfigurálja a fürthitelesítéshez és a kiszolgálóhitelesítéshez a felügyeleti végpontokhoz.
Adja hozzá a tanúsítványinformációkat a virtuálisgép-méretezési csoport erőforrásához
{
"apiVersion": "[variables('vmssApiVersion')]",
"type": "Microsoft.Compute/virtualMachineScaleSets",
...
"properties": {
...
"virtualMachineProfile": {
"extensionProfile": {
"extensions": [
{
"name": "[concat('ServiceFabricNodeVmExt_',variables('vmNodeType0Name'))]",
"properties": {
...
"settings": {
...
"certificate": {
"commonNames": ["[parameters('certificateCommonName')]"],
"x509StoreName": "[parameters('clusterCertificateStoreValue')]"
},
...
}
}
}
]
}
}
}
}
A tanúsítvány adatainak hozzáadása a Service Fabric-fürt erőforrásához
{
"apiVersion": "2018-02-01",
"type": "Microsoft.ServiceFabric/clusters",
"name": "[parameters('clusterName')]",
"location": "[parameters('clusterLocation')]",
"dependsOn": [
"[concat('Microsoft.Storage/storageAccounts/', variables('supportLogStorageAccountName'))]"
],
"properties": {
"certificateCommonNames": {
"commonNames": [
{
"certificateCommonName": "[parameters('certificateCommonName')]",
"certificateIssuerThumbprint": ""
}
],
"x509StoreName": "[parameters('certificateStoreValue')]"
},
...
}
}
Microsoft Entra-konfiguráció hozzáadása a Microsoft Entra-azonosító ügyfélhozzáféréshez való használatához
A Microsoft Entra-konfigurációt a tanúsítványkulcsokat tartalmazó kulcstartóra hivatkozva veheti fel egy fürt Resource Manager-sablonjába. Adja hozzá ezeket a Microsoft Entra-paramétereket és -értékeket egy Resource Manager-sablonparaméterfájlban (azuredeploy.parameters.json).
Feljegyzés
Linux rendszeren a Microsoft Entra-bérlőket és -felhasználókat a fürt létrehozása előtt létre kell hozni. További információ: A Microsoft Entra-azonosító beállítása az ügyfelek hitelesítéséhez.
{
"apiVersion": "2018-02-01",
"type": "Microsoft.ServiceFabric/clusters",
"name": "[parameters('clusterName')]",
...
"properties": {
"certificateCommonNames": {
"commonNames": [
{
"certificateCommonName": "[parameters('certificateCommonName')]",
"certificateIssuerThumbprint": ""
}
],
"x509StoreName": "[parameters('certificateStoreValue')]"
},
...
"azureActiveDirectory": {
"tenantId": "[parameters('aadTenantId')]",
"clusterApplication": "[parameters('aadClusterApplicationId')]",
"clientApplication": "[parameters('aadClientApplicationId')]"
},
...
}
}
A paraméterfájl feltöltése az értékekkel
Végül használja a key vault és az Azure AD PowerShell-parancsok kimeneti értékeit a paraméterfájl feltöltéséhez.
Ha az Azure Service Fabric RM PowerShell-moduljait tervezi használni, akkor nem kell kitöltenie a fürttanúsítvány adatait. Ha azt szeretné, hogy a rendszer létrehozza az önaláírt tanúsítványt a fürtbiztonság érdekében, csak tartsa őket null értékként.
Feljegyzés
Ahhoz, hogy az RM-modulok felvegyék és feltöltik ezeket az üres paraméterértékeket, a paraméterek nevei nagyban megfelelnek az alábbi neveknek
"clusterCertificateThumbprint": {
"value": ""
},
"certificateCommonName": {
"value": ""
},
"clusterCertificateUrlValue": {
"value": ""
},
"sourceVaultvalue": {
"value": ""
},
Ha alkalmazás-tanúsítványokat használ, vagy egy meglévő fürtöt használ, amelyet feltöltött a kulcstartóba, le kell kérnie ezeket az információkat, és fel kell töltenie.
Az RM-modulok nem tudják létrehozni a Microsoft Entra-konfigurációt az Ön számára, ezért ha a Microsoft Entra-azonosítót szeretné használni az ügyfélhozzáféréshez, ki kell töltenie.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
...
"clusterCertificateStoreValue": {
"value": "My"
},
"clusterCertificateThumbprint": {
"value": "<thumbprint>"
},
"clusterCertificateUrlValue": {
"value": "https://myvault.vault.azure.net:443/secrets/myclustercert/4d087088df974e869f1c0978cb100e47"
},
"applicationCertificateStorevalue": {
"value": "My"
},
"applicationCertificateUrlValue": {
"value": "https://myvault.vault.azure.net:443/secrets/myapplicationcert/2e035058ae274f869c4d0348ca100f08"
},
"sourceVaultvalue": {
"value": "/subscriptions/<guid>/resourceGroups/mycluster-keyvault/providers/Microsoft.KeyVault/vaults/myvault"
},
"aadTenantId": {
"value": "<guid>"
},
"aadClusterApplicationId": {
"value": "<guid>"
},
"aadClientApplicationId": {
"value": "<guid>"
},
...
}
}
A sablon tesztelése
A Resource Manager-sablon paraméterfájllal való teszteléséhez használja a következő PowerShell-parancsot:
Test-AzResourceGroupDeployment -ResourceGroupName "myresourcegroup" -TemplateFile .\azuredeploy.json -TemplateParameterFile .\azuredeploy.parameters.json
Ha problémákba ütközik, és titkosítási üzeneteket kap, használja a "-Hibakeresés" lehetőséget.
Test-AzResourceGroupDeployment -ResourceGroupName "myresourcegroup" -TemplateFile .\azuredeploy.json -TemplateParameterFile .\azuredeploy.parameters.json -Debug
Az alábbi ábra bemutatja, hogy a key vault és a Microsoft Entra konfiguráció hol illeszkedik a Resource Manager-sablonba.
Következő lépések
Most, hogy már rendelkezik egy sablonnal a fürthöz, megtudhatja, hogyan helyezheti üzembe a fürtöt az Azure-ban. Ha még nem tette meg, olvassa el az éles üzemkészség ellenőrzőlistát az éles fürt üzembe helyezése előtt.
A cikkben üzembe helyezett erőforrások JSON-szintaxisának és tulajdonságainak megismeréséhez lásd: