次の方法で共有

Service Fabric スタンドアロン クラスターの概要

  • [アーティクル]

Service Fabric クラスターは、ネットワークで接続された一連の仮想マシンまたは物理マシンで、マイクロサービスがデプロイおよび管理されます。 クラスターに属しているコンピューターまたは VM をクラスター ノードといいます。 クラスターは多数のノードにスケールできます。 新しいノードがクラスターに追加されると、Service Fabric は、増加したノード数全体で、サービスのパーティションのレプリカとインスタンスのバランスを再調整します。 アプリケーション全体のパフォーマンスが向上し、メモリへのアクセスの競合が減少します。 クラスター内のノードが効率的に使用されていない場合、クラスター内のノードの数を削減できます。 Service Fabric は、各ノードのハードウェアを効率的に利用できるように、減らされたノード数全体で、再度パーティションのレプリカとインスタンスのバランスを再調整します。

ノード タイプは、クラスター内の一連のノードのサイズ、数、およびプロパティを定義します。 各ノードの種類は、個別にスケール アップまたはスケール ダウンすることができ、さまざまなセットのポートを開き、異なる容量のメトリックスを持つことができます。 ノード タイプを使用して、一連の "フロントエンド" または "バックエンド" などのクラスター ノードの役割を定義します。 クラスターには複数のノード タイプを指定できますが、運用環境クラスターの場合、プライマリ ノード タイプには少なくとも 5 つの VM が必要です (テスト環境のクラスターの場合は 3 つ以上)。 Service Fabric のシステム サービスは、プライマリ ノード タイプのノードに配置されます。

オンプレミスに Service Fabric クラスターを作成するプロセスは、一連の VM がある任意のクラウド上にクラスターを作成するプロセスとほぼ同じです。 VM をプロビジョニングするための最初の手順は、使用しているクラウド プロバイダーまたはオンプレミス環境に左右されます。 一連の VM を相互にネットワーク接続できる状態にした後は、Service Fabric パッケージの設定、クラスター設定の編集、クラスターの作成と管理のスクリプトの実行の手順はオンプレミスの場合と同じです。 これにより、新しいホスティング環境の使用を決めたときにも、Service Fabric クラスターの運用と管理の経験を活かすことができます。

クラスターのセキュリティ

Azure Service Fabric クラスターは、ユーザーが所有するリソースの 1 つです。 承認されていないユーザーが接続できないように、クラスターをセキュリティで保護する必要があります。 クラスターで実稼働ワークロードを実行している場合、セキュリティで保護されたクラスターは特に重要です。

Note

Windows 認証は Kerberos に基づいています。 認証の種類として NTLM はサポートされていません。

Service Fabric クラスターでは、可能な限り x.509 証明書認証を使用してください。

ノード間のセキュリティ

ノード間のセキュリティにより、クラスター内の VM やコンピューター間の通信が保護されます。 このセキュリティ シナリオでは、クラスターへの参加が許可されているコンピューターのみが、クラスター内でホストされているアプリケーションとサービスに参加できます。 Service Fabric では、X.509 証明書を使用してクラスターをセキュリティで保護し、アプリケーションのセキュリティ機能を提供します。 クラスター証明書は、クラスター トラフィックをセキュリティで保護するため、およびクラスターとサーバーの認証を提供するために必要です。 テスト クラスターでは自己署名証明書を使用できますが、運用環境クラスターをセキュリティで保護するには、信頼された証明機関からの証明書を使用する必要があります。

Windows スタンドアロン クラスターでは、Windows セキュリティも有効にできます。 Windows Server 2012 R2 と Windows Active Directory を使用している場合、グループ管理サービス アカウントで Windows セキュリティを使用することをお勧めします。 それ以外の場合は、Windows アカウントで Windows セキュリティを使用してください。

詳細については、「ノード間のセキュリティ」を参照してください。

クライアントとノードの間のセキュリティ

クライアントとノードの間のセキュリティでは、クライアントの認証を行い、クラスター内のクライアントと個々のノードの間の通信をセキュリティで保護できます。 この種類のセキュリティでは、権限のあるユーザーのみが、クラスターと、クラスターにデプロイされたアプリケーションにアクセスできます。 クライアントは、X.509 証明書のセキュリティ資格情報を通じて一意に識別されます。 クラスターで管理クライアントまたはユーザー クライアントを認証するために、必要に応じて任意の数のクライアント証明書を使用できます。

クラスターでクライアントを認証するために、クライアント証明書に加えて、Microsoft Entra ID も構成できます。

詳細については、「クライアントとノードの間のセキュリティ」を参照してください。

Service Fabric のロールベースのアクセス制御

Service Fabric では、ユーザーの各グループに対して特定のクラスター操作へのアクセスを制限するアクセス制御もサポートしています。 その結果、クラスターのセキュリティが強化されます。 クラスターに接続するクライアント用に、2 種類のアクセス制御 (管理者ロールとユーザー ロール) がサポートされています。

詳細については、「Service Fabric のロールベースのアクセス制御」を参照してください。

Scaling

アプリケーションの要求は、時間の経過と共に変化します。 増加したアプリケーション ワークロードやネットワーク トラフィックに対処するためにクラスター リソースを増やしたり、需要が低下したときにクラスター リソースを減らしたりする必要が生じる場合があります。 Service Fabric クラスターの作成後は、クラスターを水平方向 (ノードの数を変更する) または垂直方向 (ノードのリソースを変更する) にスケーリングすることができます。 クラスターは、クラスターでワークロードを実行中であっても、いつでもスケーリングできます。 クラスターをスケーリングすると、アプリケーションも自動的にスケーリングされます。

詳細については、スタンドアロン クラスターのスケーリングに関するページを参照してください。

アップグレード中

スタンドアロン クラスターは、ユーザーが完全に所有するリソースです。 基になる OS への修正プログラムの適用とファブリック アップグレードの開始はユーザーの責任です。 クラスターは、新しいバージョンのランタイムが Microsoft からリリースされたときに自動アップグレードを適用するように設定できます。また、目的のサポートされているランタイム バージョンを選択するように設定することもできます。 ファブリックのアップグレードに加え、OS の修正プログラムを適用したり、証明書やアプリケーション ポートなどのクラスター構成を更新したりすることもできます。

詳細については、スタンドアロン クラスターのアップグレードに関するページを参照してください。

サポートされるオペレーティング システム

クラスターは、次のオペレーティング システムが実行されている VM 上またはコンピューター上に作成できます (Linux はまだサポートされていません)。

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

次のステップ

スタンドアロン クラスターのセキュリティ保護スケーリング、およびアップグレードについて詳細を確認します。

Service Fabric のサポート オプションについて学びます。