Overzicht van Service Fabric-clusters in Azure

  • Artikel

Een Service Fabric-cluster is een met het netwerk verbonden reeks virtuele of fysieke machines waarop uw microservices worden geïmplementeerd en beheerd. Een machine of VM die deel uitmaakt van een cluster, wordt een clusterknooppunt genoemd. Clusters kunnen worden geschaald naar duizenden knooppunten. Als u nieuwe knooppunten aan het cluster toevoegt, worden in Service Fabric de replica's en exemplaren van de servicepartitie opnieuw verdeeld over het toegenomen aantal knooppunten. De algehele prestaties van toepassingen verbeteren en conflicten voor toegang tot geheugen nemen af. Als de knooppunten in het cluster niet efficiënt worden gebruikt, kunt u het aantal knooppunten in het cluster verlagen. Service Fabric herverdeling van de partitiereplica's en exemplaren over het verminderde aantal knooppunten om beter gebruik te maken van de hardware op elk knooppunt.

Een knooppunttype definieert de grootte, het aantal en de eigenschappen voor een set knooppunten (virtuele machines) in het cluster. Elk knooppunttype kan dan onafhankelijk omhoog of omlaag worden geschaald, verschillende open poorten bevatten en diverse capaciteitsstatistieken hebben. Knooppunttypen worden gebruikt voor het definiëren van rollen voor een set clusterknooppunten, zoals 'front-end' of 'back-end'. Uw cluster kan meer dan één knooppunttype hebben, maar voor productieclusters moet het primaire knooppunttype ten minste vijf VM's bevatten (of ten minste drie VM's voor testclusters). Service Fabric-systeemservices worden op de knooppunten van het primaire knooppunttype geplaatst.

Clusteronderdelen en -resources

Een Service Fabric-cluster in Azure is een Azure-resource die gebruikmaakt van en communiceert met andere Azure-resources:

  • VM's en virtuele netwerkkaarten
  • virtuele-machineschaalsets
  • virtuele netwerken
  • load balancers
  • opslagaccounts
  • openbare IP-adressen

Service Fabric Cluster

Virtuele machine

Een virtuele machine die deel uitmaakt van een cluster wordt echter een knooppunt genoemd, technisch gezien is een clusterknooppunt een Service Fabric-runtimeproces. Aan elk knooppunt wordt een knooppuntnaam toegewezen (een tekenreeks). Knooppunten hebben kenmerken, zoals plaatsingseigenschappen. Elke machine of VM heeft een service voor automatisch starten, FabricHost.exe, die wordt uitgevoerd tijdens het opstarten en vervolgens twee uitvoerbare bestanden start, Fabric.exe en FabricGateway.exe, waaruit het knooppunt bestaat. Een productie-implementatie is één knooppunt per fysieke of virtuele machine. Voor testscenario's kunt u meerdere knooppunten hosten op één machine of VM door meerdere exemplaren van Fabric.exe en FabricGateway.exe uit te voeren.

Elke VM is gekoppeld aan een virtuele netwerkinterfacekaart (NIC) en aan elke NIC wordt een privé-IP-adres toegewezen. Een VIRTUELE machine wordt toegewezen aan een virtueel netwerk en lokale balancer via de NIC.

Alle VM's in een cluster worden in een virtueel netwerk geplaatst. Alle knooppunten in hetzelfde knooppunttype/dezelfde schaalset worden op hetzelfde subnet in het virtuele netwerk geplaatst. Deze knooppunten hebben alleen privé-IP-adressen en zijn niet rechtstreeks adresseerbaar buiten het virtuele netwerk. Clients hebben toegang tot services op de knooppunten via de Azure Load Balancer.

Schaalset/knooppunttype

Wanneer u een cluster maakt, definieert u een of meer knooppunttypen. De knooppunten of VM's in een knooppunttype hebben dezelfde grootte en kenmerken, zoals het aantal CPU's, het geheugen, het aantal schijven en de I/O van de schijf. Eén knooppunttype kan bijvoorbeeld zijn voor kleine front-end-VM's met poorten die zijn geopend voor internet, terwijl een ander knooppunttype kan zijn voor grote back-end-VM's die gegevens verwerken. In Azure-clusters wordt elk knooppunttype toegewezen aan een virtuele-machineschaalset.

U kunt schaalsets gebruiken om een verzameling virtuele machines als set te implementeren en beheren. Elk knooppunttype dat u in een Azure Service Fabric-cluster definieert, stelt een afzonderlijke schaalset in. De Service Fabric-runtime wordt opgestart op elke virtuele machine in de schaalset met behulp van Azure VM-extensies. U kunt elk knooppunttype onafhankelijk omhoog of omlaag schalen, de SKU van het besturingssysteem wijzigen die op elk clusterknooppunt wordt uitgevoerd, verschillende sets poorten openen en verschillende metrische capaciteitsgegevens gebruiken. Een schaalset heeft vijf upgradedomeinen en vijf foutdomeinen en kan maximaal 100 VM's bevatten. U maakt clusters van meer dan 100 knooppunten door meerdere schaalsets/knooppunttypen te maken.

Belangrijk

Het kiezen van het aantal knooppunttypen voor uw cluster en de eigenschappen van elk knooppunttype (grootte, primaire, internetgerichte, aantal VIRTUELE machines, enzovoort) is een belangrijke taak. Lees overwegingen voor de planning van clustercapaciteit voor meer informatie.

Lees Service Fabric-knooppunttypen en virtuele-machineschaalsets voor meer informatie.

Azure-belastingsverdeling

VM-exemplaren worden gekoppeld achter een Azure Load Balancer, die is gekoppeld aan een openbaar IP-adres en DNS-label. Wanneer u een cluster inricht met clusternaam>, de DNS-naam, <clusternaam>.<<location.cloudapp.azure.com> is het DNS-label dat is gekoppeld aan de load balancer vóór de schaalset.

VM's in een cluster hebben alleen privé-IP-adressen. Beheerverkeer en serviceverkeer worden gerouteerd via de openbare load balancer. Netwerkverkeer wordt doorgestuurd naar deze machines via NAT-regels (clients maken verbinding met specifieke knooppunten/exemplaren) of taakverdelingsregels (verkeer gaat naar VM's round robin). Een load balancer heeft een gekoppeld openbaar IP-adres met een DNS-naam in de indeling: <clusternaam.<>location.cloudapp.azure.com>. Een openbaar IP-adres is een andere Azure-resource in de resourcegroep. Als u meerdere knooppunttypen in een cluster definieert, wordt er een load balancer gemaakt voor elk knooppunttype/elke schaalset. U kunt ook één load balancer instellen voor meerdere knooppunttypen. Het primaire knooppunttype heeft de naam van het DNS-labelcluster<>.<location.cloudapp.azure.com hebben andere knooppunttypen het type DNS-labelclusternaam-nodetype<.<>><>location.cloudapp.azure.com>.

Opslagaccounts

Elk clusterknooppunttype wordt ondersteund door een Azure-opslagaccount en beheerde schijven.

Clusterbeveiliging

Een Service Fabric-cluster is een resource die u bezit. Het is uw verantwoordelijkheid om uw clusters te beveiligen om te voorkomen dat onbevoegde gebruikers verbinding met hen maken. Een beveiligd cluster is vooral belangrijk wanneer u productieworkloads uitvoert op het cluster.

Beveiliging van knooppunt naar knooppunt

Beveiliging tussen knooppunten beveiligt de communicatie tussen de VM's of computers in een cluster. Dit beveiligingsscenario zorgt ervoor dat alleen computers die zijn gemachtigd om deel te nemen aan het cluster, kunnen deelnemen aan het hosten van toepassingen en services in het cluster. Service Fabric maakt gebruik van X.509-certificaten om een cluster te beveiligen en toepassingsbeveiligingsfuncties te bieden. Een clustercertificaat is vereist om clusterverkeer te beveiligen en cluster- en serververificatie te bieden. Zelfondertekende certificaten kunnen worden gebruikt voor testclusters, maar een certificaat van een vertrouwde certificeringsinstantie moet worden gebruikt om productieclusters te beveiligen.

Lees de beveiliging van knooppunten naar knooppunt voor meer informatie

Beveiliging van client-naar-knooppunt

Client-naar-knooppuntbeveiliging verifieert clients en helpt bij het beveiligen van de communicatie tussen een client en afzonderlijke knooppunten in het cluster. Dit type beveiliging zorgt ervoor dat alleen geautoriseerde gebruikers toegang hebben tot het cluster en de toepassingen die in het cluster zijn geïmplementeerd. Clients worden uniek geïdentificeerd via hun X.509-certificaatbeveiligingsreferenties. Een willekeurig aantal optionele clientcertificaten kan worden gebruikt om beheerders- of gebruikersclients met het cluster te verifiëren.

Naast clientcertificaten kan microsoft Entra-id ook worden geconfigureerd voor het verifiëren van clients met het cluster.

Lees de beveiliging van client-naar-knooppunten voor meer informatie

Op rollen gebaseerd toegangsbeheer

Met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u verfijnde toegangsbeheer toewijzen aan Azure-resources. U kunt verschillende toegangsregels toewijzen aan abonnementen, resourcegroepen en resources. Azure RBAC-regels worden overgenomen in de resourcehiërarchie, tenzij ze op een lager niveau worden overschreven. U kunt alle gebruikers- of gebruikersgroepen toewijzen aan uw Microsoft Entra-id met Azure RBAC-regels, zodat aangewezen gebruikers en groepen uw cluster kunnen wijzigen. Lees het Overzicht van Azure RBAC voor meer informatie.

Service Fabric biedt ook ondersteuning voor toegangsbeheer om de toegang tot bepaalde clusterbewerkingen voor verschillende groepen gebruikers te beperken. Dit helpt het cluster veiliger te maken. Er worden twee typen toegangsbeheer ondersteund voor clients die verbinding maken met een cluster: Beheer istrator-rol en gebruikersrol.

Lees op rollen gebaseerd toegangsbeheer van Service Fabric voor meer informatie.

Netwerkbeveiligingsgroepen

Netwerkbeveiligingsgroepen (NSG's) beheren inkomend en uitgaand verkeer van een subnet, VM of specifieke NIC. Wanneer meerdere VM's op hetzelfde virtuele netwerk worden geplaatst, kunnen ze standaard met elkaar communiceren via elke poort. Als u de communicatie tussen de machines wilt beperken, kunt u NSG's definiëren om het netwerk te segmenteren of VM's van elkaar te isoleren. Als u meerdere knooppunttypen in een cluster hebt, kunt u NSG's toepassen op subnetten om te voorkomen dat computers die tot verschillende knooppunttypen behoren met elkaar communiceren.

Lees voor meer informatie over beveiligingsgroepen

Schalen

Toepassingsvereisten veranderen in de loop van de tijd. Mogelijk moet u clusterresources verhogen om te voldoen aan een verhoogde toepassingsworkload of netwerkverkeer of om clusterresources te verlagen wanneer de vraag afneemt. Nadat u een Service Fabric-cluster hebt gemaakt, kunt u het cluster horizontaal schalen (het aantal knooppunten wijzigen) of verticaal (de resources van de knooppunten wijzigen). U kunt de schaal van het cluster op elk gewenst moment aanpassen, zelfs als er workloads op het cluster worden uitgevoerd. Tijdens het schalen van het cluster worden uw toepassingen ook automatisch geschaald.

Lees Azure-clusters schalen voor meer informatie.

Bezig met upgraden

Een Azure Service Fabric-cluster is een resource die u bezit, maar wordt deels beheerd door Microsoft. Microsoft is verantwoordelijk voor het patchen van het onderliggende besturingssysteem en het uitvoeren van Service Fabric-runtime-upgrades op uw cluster. U kunt instellen dat uw cluster automatische runtime-upgrades ontvangt, wanneer Microsoft een nieuwe versie publiceert of ervoor kiest om een ondersteunde runtimeversie te selecteren die u wilt. Naast runtime-upgrades kunt u ook clusterconfiguratie bijwerken, zoals certificaten of toepassingspoorten.

Lees Clusters upgraden voor meer informatie.

Ondersteunde besturingssystemen

Zie Ondersteunde versies in Azure voor meer informatie

Volgende stappen

Lees meer over het beveiligen, schalen en upgraden van Azure-clusters .

Meer informatie over service fabric-ondersteuningsopties.