Omówienie klastrów usługi Service Fabric na platformie Azure

  • Artykuł

Klaster usługi Service Fabric jest połączonym z siecią zestawem maszyn wirtualnych lub fizycznych, w którym wdraża się mikrousługi i nimi zarządza. Maszyna lub maszyna wirtualna, która jest częścią klastra, jest nazywana węzłem klastra. Klastry mogą być skalowane do tysięcy węzłów. W przypadku dodawania nowych węzłów do klastra usługa Service Fabric ponownie równoważy repliki partycji usługi i wystąpienia w zwiększonej liczbie węzłów. Ogólna wydajność aplikacji poprawia się i rywalizacja o dostęp do pamięci zmniejsza się. Jeśli węzły w klastrze nie są używane wydajnie, możesz zmniejszyć liczbę węzłów w klastrze. Usługa Service Fabric ponownie ponownie równoważy repliki partycji i wystąpienia w zmniejszonej liczbie węzłów, aby lepiej wykorzystać sprzęt w każdym węźle.

Typ węzła definiuje rozmiar, liczbę i właściwości zestawu węzłów (maszyn wirtualnych) w klastrze. Następnie każdy typ węzła może być niezależnie skalowany w górę lub w dół oraz może mieć różne zestawy otwartych portów i różne metryki pojemności. Typy węzłów służą do definiowania ról zestawu węzłów klastra, takich jak „fronton” lub „zaplecze”. Klaster może mieć więcej niż jeden typ węzła, ale podstawowy typ węzła musi obejmować co najmniej pięć maszyn wirtualnych w przypadku klastrów produkcyjnych (lub co najmniej trzy maszyny wirtualne w przypadku klastrów testowych). Usługi systemowe Service Fabric są umieszczane w węzłach podstawowego typu.

Składniki i zasoby klastra

Klaster usługi Service Fabric na platformie Azure to zasób platformy Azure, który korzysta z innych zasobów platformy Azure i współdziała z nimi:

  • Maszyny wirtualne i wirtualne karty sieciowe
  • zestawy skalowania maszyn wirtualnych
  • sieci wirtualne
  • moduły równoważenia obciążenia
  • konta magazynu
  • publiczne adresy IP

Service Fabric Cluster

Maszyna wirtualna

Maszyna wirtualna, która jest częścią klastra, jest nazywana węzłem, jednak technicznie węzeł klastra jest procesem środowiska uruchomieniowego usługi Service Fabric. Każdy węzeł ma przypisaną nazwę węzła (ciąg). Węzły mają cechy, takie jak właściwości umieszczania. Każda maszyna lub maszyna wirtualna ma usługę automatycznego uruchamiania FabricHost.exe, która uruchamia się w czasie rozruchu, a następnie uruchamia dwa pliki wykonywalne, Fabric.exe i FabricGateway.exe, które tworzą węzeł. Wdrożenie produkcyjne to jeden węzeł na maszynę fizyczną lub wirtualną. W przypadku scenariuszy testowania można hostować wiele węzłów na jednej maszynie lub maszynie wirtualnej, uruchamiając wiele wystąpień pliku Fabric.exe i FabricGateway.exe.

Każda maszyna wirtualna jest skojarzona z wirtualną kartą sieciową (NIC), a każda karta sieciowa ma przypisany prywatny adres IP. Maszyna wirtualna jest przypisywana do sieci wirtualnej i lokalnego równoważenia za pośrednictwem karty sieciowej.

Wszystkie maszyny wirtualne w klastrze są umieszczane w sieci wirtualnej. Wszystkie węzły w tym samym typie węzła/zestawie skalowania są umieszczane w tej samej podsieci w sieci wirtualnej. Te węzły mają tylko prywatne adresy IP i nie są bezpośrednio adresowalne poza siecią wirtualną. Klienci mogą uzyskiwać dostęp do usług w węzłach za pośrednictwem modułu równoważenia obciążenia platformy Azure.

Typ zestawu skalowania/węzła

Podczas tworzenia klastra definiuje się co najmniej jeden typ węzła. Węzły lub maszyny wirtualne w typie węzła mają taki sam rozmiar i charakterystykę, jak liczba procesorów CPU, pamięć, liczba dysków i we/wy dysku. Na przykład jeden typ węzła może dotyczyć małych maszyn wirtualnych frontonu z otwartymi portami w Internecie, podczas gdy inny typ węzła może dotyczyć dużych maszyn wirtualnych zaplecza, które przetwarzają dane. W klastrach platformy Azure każdy typ węzła jest mapowany na zestaw skalowania maszyn wirtualnych.

Zestawy skalowania umożliwiają wdrażanie kolekcji maszyn wirtualnych i zarządzanie nimi jako zestaw. Każdy typ węzła zdefiniowany w klastrze usługi Azure Service Fabric konfiguruje oddzielny zestaw skalowania. Środowisko uruchomieniowe usługi Service Fabric jest uruchamiane na każdej maszynie wirtualnej w zestawie skalowania przy użyciu rozszerzeń maszyn wirtualnych platformy Azure. Można niezależnie skalować każdy typ węzła w górę lub w dół, zmieniać jednostkę SKU systemu operacyjnego uruchomioną w każdym węźle klastra, mieć otwarte różne zestawy portów i używać różnych metryk pojemności. Zestaw skalowania ma pięć domen uaktualniania i pięć domen błędów i może mieć maksymalnie 100 maszyn wirtualnych. Klastry z ponad 100 węzłami są tworzone przez utworzenie wielu zestawów skalowania/typów węzłów.

Ważne

Wybór liczby typów węzłów dla klastra i właściwości każdego typu węzła (rozmiar, podstawowy, internetowy, liczba maszyn wirtualnych itp.) jest ważnym zadaniem. Aby uzyskać więcej informacji, przeczytaj zagadnienia dotyczące planowania pojemności klastra.

Aby uzyskać więcej informacji, zobacz Service Fabric node types and virtual machine scale sets (Typy węzłów usługi Service Fabric i zestawy skalowania maszyn wirtualnych).

Azure Load Balancer

Wystąpienia maszyn wirtualnych są dołączane za modułem równoważenia obciążenia platformy Azure, który jest skojarzony z publicznym adresem IP i etykietą DNS. Podczas aprowizowania klastra przy użyciu <nazwy> klastra nazwa DNS, <nazwa> klastra.<location.cloudapp.azure.com> to etykieta DNS skojarzona z modułem równoważenia obciążenia przed zestawem skalowania.

Maszyny wirtualne w klastrze mają tylko prywatne adresy IP. Ruch związany z zarządzaniem i ruchem usług są kierowane przez publiczny moduł równoważenia obciążenia. Ruch sieciowy jest kierowany do tych maszyn za pośrednictwem reguł NAT (klienci łączą się z określonymi węzłami/wystąpieniami) lub regułami równoważenia obciążenia (ruch przechodzi do działania okrężnego maszyn wirtualnych). Moduł równoważenia obciążenia ma skojarzony publiczny adres IP z nazwą DNS w formacie: <nazwa>_klastra.<location.cloudapp.azure.com>. Publiczny adres IP to inny zasób platformy Azure w grupie zasobów. Jeśli zdefiniujesz wiele typów węzłów w klastrze, dla każdego typu węzła/zestawu skalowania zostanie utworzony moduł równoważenia obciążenia. Możesz też skonfigurować jeden moduł równoważenia obciążenia dla wielu typów węzłów. Typ węzła podstawowego ma nazwę> klastra etykiety <DNS.<location.cloudapp.azure.com, inne typy węzłów mają etykietę <DNS clustername-nodetype<.><>>location.cloudapp.azure.com>.

Konta magazynu

Każdy typ węzła klastra jest obsługiwany przez konto usługi Azure Storage i dyski zarządzane.

Zabezpieczenia klastra

Klaster usługi Service Fabric to zasób, którego jesteś właścicielem. Twoim zadaniem jest zabezpieczenie klastrów, aby uniemożliwić nieautoryzowanym użytkownikom łączenie się z nimi. Bezpieczny klaster jest szczególnie ważny w przypadku uruchamiania obciążeń produkcyjnych w klastrze.

Zabezpieczenia węzła-węzła

Zabezpieczenia między węzłami zabezpieczają komunikację między maszynami wirtualnymi lub komputerami w klastrze. Ten scenariusz zabezpieczeń gwarantuje, że tylko komputery, które są autoryzowane do dołączenia do klastra, mogą uczestniczyć w hostowanie aplikacji i usług w klastrze. Usługa Service Fabric używa certyfikatów X.509 do zabezpieczania klastra i zapewniania funkcji zabezpieczeń aplikacji. Certyfikat klastra jest wymagany do zabezpieczenia ruchu klastra i zapewnienia uwierzytelniania klastra i serwera. Certyfikaty z podpisem własnym mogą służyć do testowania klastrów, ale certyfikat z zaufanego urzędu certyfikacji powinien być używany do zabezpieczania klastrów produkcyjnych.

Aby uzyskać więcej informacji, zobacz Zabezpieczenia węzła do węzła

Zabezpieczenia klient-węzeł

Zabezpieczenia klient-węzeł uwierzytelniają klientów i pomagają zabezpieczyć komunikację między klientem a poszczególnymi węzłami w klastrze. Ten typ zabezpieczeń pomaga zagwarantować, że tylko autoryzowani użytkownicy będą mogli uzyskiwać dostęp do klastra i aplikacji wdrożonych w klastrze. Klienci są jednoznacznie identyfikowani za pomocą poświadczeń zabezpieczeń certyfikatu X.509. Dowolna liczba opcjonalnych certyfikatów klienta może służyć do uwierzytelniania klientów administracyjnych lub użytkowników w klastrze.

Oprócz certyfikatów klienta identyfikator Entra firmy Microsoft można również skonfigurować do uwierzytelniania klientów w klastrze.

Aby uzyskać więcej informacji, przeczytaj zabezpieczenia klient-węzeł

Kontrola dostępu oparta na rolach

Kontrola dostępu oparta na rolach platformy Azure (RBAC) platformy Azure umożliwia przypisywanie precyzyjnych kontroli dostępu do zasobów platformy Azure. Do subskrypcji, grup zasobów i zasobów można przypisać różne reguły dostępu. Reguły RBAC platformy Azure są dziedziczone wzdłuż hierarchii zasobów, chyba że zostaną zastąpione na niższym poziomie. Możesz przypisać dowolny użytkownik lub grupy użytkowników w identyfikatorze Entra firmy Microsoft za pomocą reguł kontroli dostępu opartej na rolach platformy Azure, aby wyznaczeni użytkownicy i grupy mogli modyfikować klaster. Aby uzyskać więcej informacji, zapoznaj się z omówieniem kontroli dostępu opartej na rolach platformy Azure.

Usługa Service Fabric obsługuje również kontrolę dostępu w celu ograniczenia dostępu do niektórych operacji klastra dla różnych grup użytkowników. Pomaga to zwiększyć bezpieczeństwo klastra. W przypadku klientów łączących się z klastrem są obsługiwane dwa typy kontroli dostępu: rola Administracja istratora i rola użytkownika.

Aby uzyskać więcej informacji, przeczytaj Service Fabric role-based access control (Kontrola dostępu oparta na rolach usługi Service Fabric).

Sieciowe grupy zabezpieczeń

Sieciowe grupy zabezpieczeń kontrolują ruch przychodzący i wychodzący podsieci, maszyny wirtualnej lub określonej karty sieciowej. Domyślnie, gdy wiele maszyn wirtualnych jest umieszczanych w tej samej sieci wirtualnej, mogą komunikować się ze sobą za pośrednictwem dowolnego portu. Jeśli chcesz ograniczyć komunikację między maszynami, możesz zdefiniować sieciowe grupy zabezpieczeń w celu segmentowania sieci lub odizolowania od siebie maszyn wirtualnych. Jeśli w klastrze istnieje wiele typów węzłów, można zastosować sieciowe grupy zabezpieczeń do podsieci, aby zapobiec komunikacji między maszynami należącymi do różnych typów węzłów.

Aby uzyskać więcej informacji, przeczytaj o grupach zabezpieczeń

Skalowanie

Zapotrzebowanie na aplikację zmienia się w czasie. Może być konieczne zwiększenie zasobów klastra w celu spełnienia zwiększonego obciążenia aplikacji lub ruchu sieciowego lub zmniejszenia zasobów klastra, gdy zapotrzebowanie spadnie. Po utworzeniu klastra usługi Service Fabric można skalować klaster w poziomie (zmienić liczbę węzłów) lub pionowo (zmienić zasoby węzłów). Klaster można skalować w dowolnym momencie nawet wtedy, gdy obciążenia są uruchomione w klastrze. W miarę skalowania klastra aplikacje są również automatycznie skalowane.

Aby uzyskać więcej informacji, przeczytaj Scaling Azure clusters (Skalowanie klastrów platformy Azure).

Uaktualnianie

Klaster usługi Azure Service Fabric to zasób, którego jesteś właścicielem, ale częściowo zarządzany przez firmę Microsoft. Firma Microsoft jest odpowiedzialna za stosowanie poprawek do bazowego systemu operacyjnego i wykonywanie uaktualnień środowiska uruchomieniowego usługi Service Fabric w klastrze. Klaster można ustawić tak, aby otrzymywał automatyczne uaktualnienia środowiska uruchomieniowego, gdy firma Microsoft wyda nową wersję, lub wybrać odpowiednią obsługiwaną wersję środowiska uruchomieniowego. Oprócz uaktualnień środowiska uruchomieniowego można również zaktualizować konfigurację klastra, taką jak certyfikaty lub porty aplikacji.

Aby uzyskać więcej informacji, zobacz Uaktualnianie klastrów.

Obsługiwane systemy operacyjne

Aby uzyskać dodatkowe informacje, zobacz Obsługiwane wersje na platformie Azure

Następne kroki

Przeczytaj więcej na temat zabezpieczania, skalowania i uaktualniania klastrów platformy Azure.

Dowiedz się więcej o opcjach pomocy technicznej usługi Service Fabric.