Share via

Membuat klaster Service Fabric di Azure menggunakan portal Azure

  • Artikel

Ini adalah panduan langkah demi langkah yang memandu Anda melalui langkah-langkah pengaturan klaster Service Fabric (Linux atau Windows) di Azure menggunakan portal Azure. Ini memandu Anda melalui langkah-langkah berikut:

  • Buat klaster di Azure melalui portal Azure.
  • Otentikasi administrator menggunakan sertifikat.

Catatan

Untuk opsi keamanan tingkat lanjut, seperti autentikasi pengguna dengan ID Microsoft Entra dan menyiapkan sertifikat untuk keamanan aplikasi, buat kluster Anda menggunakan Azure Resource Manager.

Keamanan klaster

Sertifikat digunakan dalam Service Fabric untuk menyediakan otentikasi dan enkripsi untuk mengamankan berbagai aspek klaster dan aplikasinya. Untuk informasi selengkapnya tentang bagaimana sertifikat digunakan dalam Service Fabric, lihat Skenario keamanan klaster Service Fabric.

Jika ini adalah pertama kalinya Anda membuat klaster service fabric atau menyebarkan klaster untuk beban kerja pengujian, Anda dapat melompat ke bagian berikutnya ((Membuat klaster di portal Azure) dan meminta sistem menghasilkan sertifikat yang diperlukan untuk klaster Anda yang menjalankan beban kerja pengujian. Jika Anda menyiapkan klaster untuk beban kerja produksi, lanjutkan membaca.

Sertifikat kluster dan server (diperlukan)

Sertifikat ini diperlukan untuk mengamankan klaster dan mencegah akses tidak sah ke dalamnya. Ini memberikan keamanan klaster dalam beberapa cara:

  • Otentikasi klaster: Mengautentikasi komunikasi node-to-node untuk federasi klaster. Hanya node yang dapat membuktikan identitas mereka dengan sertifikat ini yang dapat bergabung dengan kluster.
  • Otentikasi server: Mengautentikasi endpoint manajemen klaster ke klien manajemen, sehingga klien manajemen tahu itu berbicara dengan klaster nyata. Sertifikat ini juga menyediakan TLS untuk API manajemen HTTPS dan untuk Service Fabric Explorer melalui HTTPS.

Untuk melayani tujuan ini, sertifikat harus memenuhi persyaratan berikut:

  • Sertifikat harus memuat kunci privat.
  • Sertifikat harus dibuat untuk pertukaran kunci, dapat diekspor ke file Pertukaran Informasi Pribadi (.pfx).
  • Bagaimanapun, nama subjek sertifikat harus cocok dengan domain yang Anda gunakan untuk mengakses klaster Service Fabric. Kecocokan ini diperlukan untuk menyediakan TLS untuk titik akhir manajemen HTTPS klaster dan Service Fabric Explorer. Anda tidak dapat memperoleh sertifikat TLS/SSL dari CA untuk .cloudapp.azure.com domain tersebut. Anda harus mendapatkan nama domain kustom untuk klaster Anda. Saat Anda meminta sertifikat dari CA, nama subjek sertifikat harus cocok dengan nama domain kustom yang Anda gunakan untuk klaster Anda.
  • Daftar nama DNS sertifikat harus menyertakan Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) kluster.

Sertifikat autentikasi klien

Sertifikat klien tambahan mengautentikasi administrator untuk tugas manajemen klaster. Service Fabric memiliki dua tingkat akses: admin dan pengguna baca-saja. Minimal, satu sertifikat untuk akses administratif harus digunakan. Untuk akses tingkat pengguna tambahan, sertifikat terpisah harus disediakan. Untuk informasi selengkapnya tentang peran akses, lihat kontrol akses berbasis peran untuk klien Service Fabric.

Anda tidak perlu mengunggah sertifikat autentikasi Klien ke Key Vault untuk bekerja dengan Service Fabric. Sertifikat ini hanya perlu diberikan kepada pengguna yang berwenang untuk manajemen klaster.

Catatan

MICROSOFT Entra ID adalah cara yang disarankan untuk mengautentikasi klien untuk operasi manajemen kluster. Untuk menggunakan ID Microsoft Entra, Anda harus membuat kluster menggunakan Azure Resource Manager.

Sertifikat aplikasi (opsional)

Sejumlah sertifikat tambahan dapat diinstal pada kluster untuk tujuan keamanan aplikasi. Sebelum membuat kluster Anda, pertimbangkan skenario keamanan aplikasi yang memerlukan sertifikat untuk diinstal pada node, seperti:

  • Enkripsi dan dekripsi nilai konfigurasi aplikasi
  • Enkripsi data di seluruh node selama replikasi

Sertifikat aplikasi tidak dapat dikonfigurasi saat membuat klaster melalui portal Azure. Untuk mengonfigurasi sertifikat aplikasi pada waktu penyiapan klaster, Anda harus membuat klaster menggunakan Azure Resource Manager. Anda juga dapat menambahkan sertifikat aplikasi ke klaster setelah dibuat.

Membuat klaster di portal Azure

Membuat klaster produksi untuk memenuhi kebutuhan aplikasi Anda melibatkan beberapa perencanaan, untuk membantu Anda dengan itu, sangat disarankan agar Anda membaca dan memahami dokumen pertimbangan perencanaan klaster Service Fabric.

Cari sumber daya klaster Service Fabric

Masuk ke portal Azure. Klik Buat sumber daya untuk menambahkan templat sumber daya baru. Cari templat klaster Service Fabric di Marketplace di bawah Semuanya. Pilih klaster Fabric Cluster dari daftar.

search for Service Fabric cluster template on the Azure portal.

Navigasi ke bilah klaster Service Fabric, dan klik Buat.

Bilah Buat klaster Service Fabric memiliki empat langkah berikut:

1. Dasar-dasar

Screenshot of creating a new resource group.

Di bilah Dasar, Anda perlu memberikan detail dasar untuk klaster Anda.

  1. Masukkan nama klaster Anda.

  2. Masukkan Nama pengguna dan Kata Sandi untuk Desktop Jarak Jauh untuk VM.

  3. Pastikan untuk memilih Langganan yang Anda inginkan untuk diterapkan klaster Anda, terutama jika Anda memiliki beberapa langganan.

  4. Membuat Grup sumber daya baru. Yang terbaik adalah memberinya nama yang sama dengan klaster, karena akan membantu menemukannya nanti, terutama ketika Anda mencoba membuat perubahan pada penerapan Anda atau menghapus klaster Anda.

    Catatan

    Meskipun Anda dapat memutuskan untuk menggunakan grup sumber daya yang ada, ini adalah praktik yang baik untuk membuat grup sumber daya baru. Hal Ini memudahkan untuk menghapus klaster dan semua sumber daya yang digunakannya.

  5. Pilih Lokasi tempat Anda ingin membuat klaster. Jika Anda berencana menggunakan sertifikat yang sudah ada yang telah Anda unggah ke vault kunci, Anda harus menggunakan wilayah yang sama tempat vault Kunci Anda berada.

2. Konfigurasi klaster

Create a node type

Konfigurasikan node klaster Anda. Jenis node mendefinisikan ukuran VM, jumlah VM, dan propertinya. Klaster Anda dapat memiliki lebih dari satu jenis node, tetapi jenis node utama (yang pertama yang Anda definisikan di portal) harus memiliki setidaknya lima VM, karena ini adalah jenis node di mana layanan sistem Service Fabric ditempatkan. Jangan konfigurasikan Properti Penempatan karena properti penempatan default "NodeTypeName" ditambahkan secara otomatis.

Catatan

Skenario umum untuk beberapa jenis node adalah aplikasi yang berisi layanan ujung depan dan layanan ujung belakang. Anda ingin menempatkan layanan front-end pada VM yang lebih kecil (ukuran VM seperti D2_V2) dengan port terbuka ke Internet, dan menempatkan layanan back-end pada VM yang lebih besar (dengan ukuran VM seperti D3_V2, D6_V2, D15_V2, dan sebagainya) tanpa port terbuka menghadap ke internet.

  1. Pilih nama untuk jenis node Anda (1 hingga 12 karakter yang hanya berisi huruf dan angka).
  2. Ukuran minimum VM untuk jenis node utama digerakkan oleh tingkat Durabilitas yang Anda pilih untuk klaster. Default untuk tingkat durabilitas adalah perunggu. Untuk informasi selengkapnya tentang durabilitas, lihat cara memilih durabilitas klaster Service Fabric.
  3. Pilih ukuran Komputer virtual. VM seri D memiliki drive SSD dan sangat disarankan untuk aplikasi yang stateful. Jangan gunakan VM SKU apa pun yang memiliki inti parsial atau memiliki kapasitas disk kurang dari 10 GB yang tersedia. Lihat dokumen pertimbangan perencanaan klaster service fabric untuk bantuan dalam memilih ukuran VM.
  4. klaster node tunggal dan tiga klaster node hanya dimaksudkan untuk penggunaan pengujian. Mereka tidak didukung untuk beban kerja produksi yang berjalan.
  5. Pilih kapasitas set skala komputer virtual awal untuk jenis node. Anda dapat menskalakan atau mengeluarkan jumlah VM dalam jenis node di kemudian hari, tetapi pada jenis node utama, minimum adalah lima untuk beban kerja produksi. Jenis node lainnya dapat memiliki minimal satu VM. Jumlah minimum VM untuk jenis node utama mendorong keandalan klaster Anda.
  6. Konfigurasikan Titik akhir kustom. Bidang ini memungkinkan Anda memasukkan daftar port yang dipisahkan koma yang ingin Anda ekspos melalui Azure Load Balancer ke Internet publik untuk aplikasi Anda. Misalnya, jika Anda berencana untuk menerapkan aplikasi web ke klaster Anda, masukkan "80" di sini untuk memungkinkan lalu lintas di port 80 ke klaster Anda Untuk informasi selengkapnya tentang titik akhir, lihat berkomunikasi dengan aplikasi
  7. Aktifkan proksi terbalik. Proxy terbalik Service Fabric membantu layanan mikro yang berjalan dalam klaster Service Fabric menemukan dan berkomunikasi dengan layanan lain yang memiliki titik akhir http.
  8. Kembali ke bilah Konfigurasi klaster, di bawah +Tampilkan pengaturan opsional, konfigurasikan diagnostik klaster. Secara default, diagnostik diaktifkan pada klaster Anda untuk membantu mengatasi masalah pemecahan masalah. Jika Anda ingin menonaktifkan diagnostik, ubah tombol Status ke Nonaktif. Menonaktifkan diagnostik tidak disarankan. Jika Anda sudah memiliki proyek Application Insights yang dibuat, maka berikan kuncinya, sehingga jejak aplikasi dirutekan ke sana.
  9. Sertakan layanan DNS. Layanan DNS adalah layanan opsional yang memungkinkan Anda menemukan layanan lain menggunakan protokol DNS.
  10. Pilih mode peningkatan Fabric yang ingin Anda atur klaster Anda. Pilih Otomatis, jika Anda ingin sistem secara otomatis mengambil versi terbaru yang tersedia dan mencoba meningkatkan klaster Anda ke dalamnya. Atur mode ke Manual, jika Anda ingin memilih versi yang didukung. Untuk detail selengkapnya tentang mode peningkatan Fabric lihat dokumen Peningkatan Klaster Service Fabric.

Catatan

Kami hanya mendukung klaster yang menjalankan versi Service Fabric yang didukung. Dengan memilih mode Manual, Anda bertanggung jawab untuk meningkatkan klaster Anda ke versi yang didukung.

3. Keamanan

Screenshot of security configurations on Azure portal.

Untuk mempermudah pengaturan klaster pengujian yang aman bagi Anda, kami telah menyediakan opsi Dasar. Jika Anda sudah memiliki sertifikat dan telah mengunggahnya ke vault kunci Anda (dan mengaktifkan vault kunci untuk penerapan), maka gunakan opsi Kustom

Opsi Dasar

Ikuti layar untuk menambahkan atau menggunakan kembali vault kunci yang ada dan tambahkan sertifikat. Penambahan sertifikat adalah proses sinkron sehingga Anda harus menunggu sertifikat dibuat.

Tahan godaan menavigasi jauh dari layar sampai proses sebelumnya selesai.

Screenshot shows the Security page with Basic selected with the Key vault pane and Create key vault pane.

Setelah vault kunci dibuat, edit kebijakan akses untuk vault kunci Anda.

Screenshot shows the Create Service Fabric cluster pane with option 3 Security selected and an explanation that the key vault is not enabled.

Klik Kebijakan akses edit, lalu Perlihatkan kebijakan akses tingkat lanjut dan aktifkan akses ke Azure Virtual Machines untuk penerapan. Dalam hal ini disarankan agar Anda mengaktifkan penerapan templat juga. Setelah Anda membuat pilihan, jangan lupa untuk mengklik tombol Simpan dan menutup panel Kebijakan akses.

Screenshot shows the Create Service Fabric cluster pane with the Security pane open and the Access policies pane open.

Masukkan nama sertifikat dan klik OK.

Screenshot shows the Create Service Fabric cluster pane with Security selected as before but without the explanation that the key vault is not enabled.

Opsi Kustom

Lewati bagian ini, jika Anda sudah melakukan langkah-langkah di Opsi Dasar.

Screenshot shows the Security Configure cluster security settings dialog box.

Anda memerlukan vault kunci Sumber, URL Sertifikat, dan Sertifikat informasi thumbprint untuk menyelesaikan halaman keamanan. Jika Anda tidak memilikinya, buka jendela browser lain dan di portal Azure lakukan hal berikut ini

  1. Navigasi ke layanan vault kunci Anda.

  2. Pilih tab "Properti" dan salin 'ID SUMBER DAYA' ke "vault kunci Sumber" pada jendela browser lainnya

    Screenshot shows the Properties window for the key vault.

  3. Sekarang, pilih tab "Sertifikat".

  4. Klik pada thumbprint sertifikat, yang membawa Anda ke halaman Versi.

  5. Klik pada GUID yang Anda lihat di bawah Versi saat ini.

    Screenshot shows the Certificate window for the key vault

  6. Anda sekarang harus berada di layar seperti di bawah ini. Salin Thumbprint SHA-1 heksadesimal ke "thumbprint sertifikat" di jendela browser lainnya

  7. Salin 'Pengidentifikasi Rahasia' ke "URL Sertifikat" di jendela browser lain.

    Screenshot shows the Certificate Version dialog box with an option to copy the Certificate Identifier.

Centang kotak Konfigurasi pengaturan tingkat lanjut untuk memasukkan sertifikat klien untuk klien admin dan klien baca-saja. Di bidang ini, masukkan sidik jari sertifikat klien admin dan thumbprint sertifikat klien pengguna hanya-baca, jika berlaku. Jika administrator mencoba untuk terhubung ke klaster, mereka diberikan akses hanya jika mereka memiliki sertifikat dengan thumbprint yang cocok dengan nilai thumbprint yang dimasukkan di sini.

4. Ringkasan

Sekarang Anda siap untuk menyebarkan klaster. Sebelum Anda melakukannya, unduh sertifikat, lihat di dalam kotak informasi biru besar untuk tautannya. Pastikan untuk menyimpan sertifikat di tempat yang aman. Anda membutuhkannya untuk terhubung ke klaster Anda. Karena sertifikat yang diunduh tidak memiliki kata sandi, disarankan agar Anda menambahkannya.

Untuk menyelesaikan pembuatan klaster, klik Buat. Anda dapat mengunduh templat secara opsional.

Screenshot shows the Create Service Fabric cluster Summary page with a link to view and download a certificate.

Anda dapat melihat kemajuan pembuatan di notifikasi. (Klik ikon "Bel" di dekat bilah status di kanan atas layar Anda.) Jika Anda mengklik Sematkan ke Startboard saat membuat klaster, Anda akan melihat Menyebarkan Klaster Service Fabric disematkan ke papan Mulai. Proses ini akan memakan waktu.

Untuk melakukan operasi pengelolaan pada klaster Anda menggunakan PowerShell atau CLI, Anda harus terhubung ke klaster Anda, baca selengkapnya tentang caranya di menyambungkan ke klaster Anda.

Melihat status klaster Anda

Screenshot of cluster details in the dashboard.

Setelah klaster dibuat, Anda dapat memeriksa klaster Anda di portal:

  1. Buka Telusuri dan klik Klaster Service Fabric.
  2. Temukan klaster Anda dan klik.
  3. Anda sekarang dapat melihat detail klaster Anda di dasbor, termasuk titik akhir publik klaster dan tautan ke Service Fabric Explorer.

Bagian Monitor Node pada bilah dasbor klaster menunjukkan jumlah VM yang sehat dan tidak sehat. Anda dapat menemukan detail selengkapnya tentang kesehatan klaster di Pengenalan model kesehatan Service Fabric.

Catatan

Klaster Service Fabric memerlukan sejumlah node agar selalu aktif untuk menjaga ketersediaan dan mempertahankan status - disebut sebagai "mempertahankan kuorum". Oleh karena itu, biasanya tidak aman untuk mematikan semua mesin dalam klaster kecuali Anda telah melakukan pencadangan penuh status Anda terlebih dahulu.

Penyambungan jarak jauh ke instans Virtual Machine Scale Set atau node klaster

Setiap NodeTypes yang Anda tentukan dalam klaster Anda menghasilkan Virtual Machine Scale Set yang sedang disiapkan.

Langkah berikutnya

Pada titik ini, Anda memiliki klaster aman yang menggunakan sertifikat untuk autentikasi manajemen. Selanjutnya, hubungkan ke klaster Anda dan pelajari cara mengelola rahasia aplikasi. Selain itu, pelajari tentang Opsi dukungan Service Fabric.