Tworzenie klastra usługi Service Fabric na platformie Azure przy użyciu witryny Azure Portal

  • Artykuł

Jest to przewodnik krok po kroku, który przeprowadzi Cię przez kroki konfigurowania klastra usługi Service Fabric (Linux lub Windows) na platformie Azure przy użyciu witryny Azure Portal. Ten przewodnik przeprowadzi Cię przez następujące kroki:

  • Tworzenie klastra na platformie Azure za pośrednictwem witryny Azure Portal.
  • Uwierzytelnianie administratorów przy użyciu certyfikatów.

Uwaga

Aby uzyskać bardziej zaawansowane opcje zabezpieczeń, takie jak uwierzytelnianie użytkowników za pomocą identyfikatora Entra firmy Microsoft i konfigurowanie certyfikatów na potrzeby zabezpieczeń aplikacji, utwórz klaster przy użyciu usługi Azure Resource Manager.

Zabezpieczenia klastra

W usłudze Service Fabric używa się certyfikatów, aby zapewniać uwierzytelnianie i szyfrowanie w celu zabezpieczania różnych aspektów klastra i jego aplikacji. Aby uzyskać więcej informacji o sposobie wykorzystania certyfikatów w usłudze Service Fabric, zobacz Scenariusze zabezpieczeń klastra usługi Service Fabric.

Jeśli po raz pierwszy tworzysz klaster usługi Service Fabric lub wdrażasz klaster na potrzeby obciążeń testowych, możesz przejść do następnej sekcji (Utwórz klaster w witrynie Azure Portal) i wygenerować przez system certyfikaty wymagane dla klastrów, które uruchamiają obciążenia testowe. Jeśli konfigurujesz klaster dla obciążeń produkcyjnych, kontynuuj czytanie.

Certyfikat klastra i serwera (wymagany)

Ten certyfikat jest wymagany do zabezpieczenia klastra i zapobiegania nieautoryzowanemu dostępowi do niego. Zapewnia ona zabezpieczenia klastra na kilka sposobów:

  • Uwierzytelnianie klastra: uwierzytelnia komunikację między węzłami na potrzeby federacji klastra. Tylko węzły, które mogą udowodnić swoją tożsamość za pomocą tego certyfikatu, mogą dołączyć do klastra.
  • Uwierzytelnianie serwera: uwierzytelnia punkty końcowe zarządzania klastrem do klienta zarządzania, aby klient zarządzania wiedział, że rozmawia z rzeczywistym klastrem. Ten certyfikat zapewnia również protokół TLS dla interfejsu API zarządzania HTTPS i dla narzędzia Service Fabric Explorer za pośrednictwem protokołu HTTPS.

Aby obsłużyć te cele, certyfikat musi spełniać następujące wymagania:

  • Certyfikat musi zawierać klucz prywatny.
  • Certyfikat należy utworzyć na potrzeby wymiany kluczy, który można wyeksportować do pliku wymiany informacji osobistych (pfx).
  • Nazwa podmiotu certyfikatu musi być zgodna z domeną używaną do uzyskiwania dostępu do klastra usługi Service Fabric. Jest to wymagane do zapewnienia protokołu TLS dla punktów końcowych zarządzania HTTPS klastra i narzędzia Service Fabric Explorer. Nie można uzyskać certyfikatu TLS/SSL z urzędu certyfikacji dla .cloudapp.azure.com domeny. Uzyskaj niestandardową nazwę domeny dla klastra. W przypadku żądania certyfikatu z urzędu certyfikacji nazwa podmiotu certyfikatu musi być zgodna z niestandardową nazwą domeny używaną dla klastra.
  • Lista nazw DNS certyfikatu musi zawierać w pełni kwalifikowaną nazwę domeny (FQDN) klastra.

Certyfikaty uwierzytelniania klienta

Dodatkowe certyfikaty klienta uwierzytelniają administratorów na potrzeby zadań zarządzania klastrem. Usługa Service Fabric ma dwa poziomy dostępu: administrator i użytkownik tylko do odczytu. Należy użyć co najmniej jednego certyfikatu na potrzeby dostępu administracyjnego. Aby uzyskać dodatkowy dostęp na poziomie użytkownika, należy podać oddzielny certyfikat. Aby uzyskać więcej informacji na temat ról dostępu, zobacz Kontrola dostępu oparta na rolach dla klientów usługi Service Fabric.

Do pracy z usługą Service Fabric nie trzeba przekazywać certyfikatów uwierzytelniania klienta do usługi Key Vault. Te certyfikaty muszą być udostępniane tylko użytkownikom, którzy są autoryzowani do zarządzania klastrem.

Uwaga

Identyfikator Entra firmy Microsoft to zalecany sposób uwierzytelniania klientów na potrzeby operacji zarządzania klastrem. Aby użyć identyfikatora Entra firmy Microsoft, należy utworzyć klaster przy użyciu usługi Azure Resource Manager.

Certyfikaty aplikacji (opcjonalnie)

W klastrze można zainstalować dowolną liczbę dodatkowych certyfikatów na potrzeby zabezpieczeń aplikacji. Przed utworzeniem klastra należy wziąć pod uwagę scenariusze zabezpieczeń aplikacji, które wymagają zainstalowania certyfikatu w węzłach, takich jak:

  • Szyfrowanie i odszyfrowywanie wartości konfiguracji aplikacji
  • Szyfrowanie danych między węzłami podczas replikacji

Nie można skonfigurować certyfikatów aplikacji podczas tworzenia klastra za pośrednictwem witryny Azure Portal. Aby skonfigurować certyfikaty aplikacji w czasie konfiguracji klastra, należy utworzyć klaster przy użyciu usługi Azure Resource Manager. Możesz również dodać certyfikaty aplikacji do klastra po jego utworzeniu.

Tworzenie klastra w witrynie Azure Portal

Utworzenie klastra produkcyjnego w celu spełnienia wymagań aplikacji obejmuje pewne planowanie, aby ułatwić sobie to. Zdecydowanie zaleca się przeczytanie i zapoznanie się z dokumentem zagadnienia dotyczące planowania klastra usługi Service Fabric.

Wyszukiwanie zasobu klastra usługi Service Fabric

Zaloguj się w witrynie Azure Portal. Kliknij pozycję Utwórz zasób , aby dodać nowy szablon zasobu. Wyszukaj szablon klastra usługi Service Fabric w witrynie Marketplace w obszarze Wszystko. Wybierz pozycję Klaster usługi Service Fabric z listy.

search for Service Fabric cluster template on the Azure portal.

Przejdź do bloku Klaster usługi Service Fabric, a następnie kliknij przycisk Utwórz.

Blok Tworzenie klastra usługi Service Fabric zawiera następujące cztery kroki:

1. Podstawy

Screenshot of creating a new resource group.

W bloku Podstawy musisz podać podstawowe informacje dotyczące klastra.

  1. Wprowadź nazwę klastra.

  2. Wprowadź nazwę użytkownika i hasło pulpitu zdalnego dla maszyn wirtualnych.

  3. Upewnij się, że wybrano subskrypcję , do której ma zostać wdrożony klaster, zwłaszcza jeśli masz wiele subskrypcji.

  4. Utwórz nową grupę zasobów. Najlepiej nadać mu taką samą nazwę jak klaster, ponieważ pomaga w znalezieniu ich później, szczególnie podczas próby wprowadzenia zmian we wdrożeniu lub usunięcia klastra.

    Uwaga

    Chociaż możesz zdecydować się na użycie istniejącej grupy zasobów, dobrym rozwiązaniem jest utworzenie nowej grupy zasobów. Ułatwia to usuwanie klastrów i wszystkich używanych zasobów.

  5. Wybierz lokalizację, w której chcesz utworzyć klaster. Jeśli planujesz użyć istniejącego certyfikatu, który został już przekazany do magazynu kluczy, musisz użyć tego samego regionu, w którym znajduje się magazyn kluczy.

2. Konfiguracja klastra

Create a node type

Skonfiguruj węzły klastra. Typy węzłów definiują rozmiary maszyn wirtualnych, liczbę maszyn wirtualnych i ich właściwości. Klaster może mieć więcej niż jeden typ węzła, ale podstawowy typ węzła (pierwszy zdefiniowany w portalu) musi mieć co najmniej pięć maszyn wirtualnych, ponieważ jest to typ węzła, w którym są umieszczane usługi systemowe usługi Service Fabric. Nie konfiguruj właściwości umieszczania, ponieważ domyślna właściwość umieszczania "NodeTypeName" jest dodawana automatycznie.

Uwaga

Typowym scenariuszem dla wielu typów węzłów jest aplikacja zawierająca usługę frontonu i usługę zaplecza. Chcesz umieścić usługę frontonu na mniejszych maszynach wirtualnych (takich jak D2_V2) z otwartymi portami w Internecie i umieścić usługę zaplecza na większych maszynach wirtualnych (z rozmiarami maszyn wirtualnych, takimi jak D3_V2, D6_V2, D15_V2 itd.) bez otwartych portów internetowych.

  1. Wybierz nazwę typu węzła (od 1 do 12 znaków zawierających tylko litery i cyfry).
  2. Minimalny rozmiar maszyn wirtualnych dla typu węzła podstawowego jest napędzany przez warstwę trwałości wybranej dla klastra. Domyślną wartością warstwy trwałości jest brąz. Aby uzyskać więcej informacji na temat trwałości, zobacz , jak wybrać trwałość klastra usługi Service Fabric.
  3. Wybierz rozmiar maszyny wirtualnej. Maszyny wirtualne serii D mają dyski SSD i są zdecydowanie zalecane w przypadku aplikacji stanowych. Nie używaj żadnej jednostki SKU maszyny wirtualnej, która ma częściowe rdzenie lub ma mniej niż 10 GB dostępnej pojemności dysku. Zapoznaj się z dokumentem z zagadnieniami dotyczącymi planowania klastra usługi Service Fabric, aby uzyskać pomoc dotyczącą wybierania rozmiaru maszyny wirtualnej.
  4. Klaster z jednym węzłem i trzy klastry węzłów są przeznaczone tylko do użycia testowego. Nie są one obsługiwane w przypadku żadnych uruchomionych obciążeń produkcyjnych.
  5. Wybierz pojemność początkowego zestawu skalowania maszyn wirtualnych dla typu węzła. Liczbę maszyn wirtualnych w typie węzła można później skalować w poziomie lub w poziomie, ale w przypadku podstawowego typu węzła minimalna liczba to pięć dla obciążeń produkcyjnych. Inne typy węzłów mogą mieć co najmniej jedną maszynę wirtualną. Minimalna liczba maszyn wirtualnych dla typu węzła podstawowego powoduje niezawodność klastra.
  6. Konfigurowanie niestandardowych punktów końcowych. To pole umożliwia wprowadzenie rozdzielanej przecinkami listy portów, które mają zostać uwidocznione za pośrednictwem usługi Azure Load Balancer w publicznym Internecie dla aplikacji. Jeśli na przykład planujesz wdrożyć aplikację internetową w klastrze, wprowadź tutaj "80", aby zezwolić na ruch na porcie 80 w klastrze. Aby uzyskać więcej informacji na temat punktów końcowych, zobacz Komunikowanie się z aplikacjami
  7. Włącz zwrotny serwer proxy. Zwrotny serwer proxy usługi Service Fabric ułatwia mikrousługi uruchomione w klastrze usługi Service Fabric odnajdywanie i komunikowanie się z innymi usługami, które mają punkty końcowe http.
  8. Wróć do bloku Konfiguracja klastra w obszarze +Pokaż opcjonalne ustawienia, skonfiguruj diagnostykę klastra. Domyślnie diagnostyka jest włączona w klastrze, aby ułatwić rozwiązywanie problemów. Jeśli chcesz wyłączyć diagnostykę, zmień przełącznik Stan na Wyłączone. Wyłączenie diagnostyki nie jest zalecane. Jeśli masz już utworzony projekt Application Szczegółowe informacje, nadaj mu klucz, aby ślady aplikacji zostały do niego kierowane.
  9. Uwzględnij usługę DNS. Usługa DNS opcjonalna usługa, która umożliwia znajdowanie innych usług przy użyciu protokołu DNS.
  10. Wybierz tryb uaktualniania sieci szkieletowej, na który chcesz ustawić klaster. Wybierz pozycję Automatycznie, jeśli chcesz, aby system automatycznie pobierał najnowszą dostępną wersję i spróbuj uaktualnić klaster do niego. Ustaw tryb na Ręczne, jeśli chcesz wybrać obsługiwaną wersję. Aby uzyskać więcej informacji na temat trybu uaktualniania sieci szkieletowej, zobacz dokument Uaktualnianie klastra usługi Service Fabric.

Uwaga

Obsługujemy tylko klastry z obsługiwanymi wersjami usługi Service Fabric. Wybierając tryb ręczny, ponosisz odpowiedzialność za uaktualnienie klastra do obsługiwanej wersji.

3. Zabezpieczenia

Screenshot of security configurations on Azure portal.

Aby ułatwić skonfigurowanie bezpiecznego klastra testowego, udostępniliśmy opcję Podstawowa. Jeśli masz już certyfikat i przekazano go do magazynu kluczy (i włączono magazyn kluczy do wdrożenia), użyj opcji Niestandardowe

Opcja podstawowa

Postępuj zgodnie z ekranami, aby dodać lub ponownie użyć istniejącego magazynu kluczy i dodać certyfikat. Dodanie certyfikatu jest procesem synchronicznym, więc trzeba będzie poczekać na utworzenie certyfikatu.

Oprzej się pokusie poruszania się z dala od ekranu do momentu ukończenia poprzedniego procesu.

Screenshot shows the Security page with Basic selected with the Key vault pane and Create key vault pane.

Po utworzeniu magazynu kluczy zmodyfikuj zasady dostępu dla magazynu kluczy.

Screenshot shows the Create Service Fabric cluster pane with option 3 Security selected and an explanation that the key vault is not enabled.

Kliknij pozycję Edytuj zasady dostępu, a następnie pokaż zaawansowane zasady dostępu i włącz dostęp do usługi Azure Virtual Machines na potrzeby wdrożenia. Zaleca się również włączenie wdrożenia szablonu. Po wybraniu opcji nie zapomnij kliknąć przycisku Zapisz i zamknąć okienko Zasady dostępu.

Screenshot shows the Create Service Fabric cluster pane with the Security pane open and the Access policies pane open.

Wprowadź nazwę certyfikatu i kliknij przycisk OK.

Screenshot shows the Create Service Fabric cluster pane with Security selected as before but without the explanation that the key vault is not enabled.

Opcja niestandardowa

Pomiń tę sekcję, jeśli zostały już wykonane kroki w opcji podstawowej .

Screenshot shows the Security Configure cluster security settings dialog box.

Aby ukończyć stronę zabezpieczeń, potrzebny jest źródłowy magazyn kluczy, adres URL certyfikatu i odcisk palca certyfikatu. Jeśli go nie masz, otwórz kolejne okno przeglądarki i w witrynie Azure Portal wykonaj następujące czynności

  1. Przejdź do usługi magazynu kluczy.

  2. Wybierz kartę "Właściwości" i skopiuj identyfikator zasobu do pozycji "Magazyn kluczy źródłowych" w innym oknie przeglądarki

    Screenshot shows the Properties window for the key vault.

  3. Teraz wybierz kartę "Certyfikaty".

  4. Kliknij odcisk palca certyfikatu, który spowoduje przejście do strony Wersje.

  5. Kliknij identyfikatory GUID widoczne w bieżącej wersji.

    Screenshot shows the Certificate window for the key vault

  6. Teraz na ekranie powinien znajdować się ekran podobny do poniższego. Skopiuj odcisk palca SHA-1 szesnastkowy do pozycji "Odcisk palca certyfikatu" w innym oknie przeglądarki

  7. Skopiuj identyfikator wpisu tajnego do adresu URL certyfikatu w innym oknie przeglądarki.

    Screenshot shows the Certificate Version dialog box with an option to copy the Certificate Identifier.

Zaznacz pole Konfigurowanie ustawień zaawansowanych, aby wprowadzić certyfikaty klienta dla klienta administracyjnego i klienta tylko do odczytu. W tych polach wprowadź odcisk palca certyfikatu klienta administratora i odcisk palca certyfikatu klienta użytkownika tylko do odczytu, jeśli ma to zastosowanie. Gdy administratorzy próbują nawiązać połączenie z klastrem, otrzymują dostęp tylko wtedy, gdy mają certyfikat z odciskiem palca zgodnym z wprowadzonymi tutaj wartościami odcisku palca.

4. Podsumowanie

Teraz możesz przystąpić do wdrażania klastra. Zanim to zrobisz, pobierz certyfikat, poszukaj w dużym niebieskim polu informacyjnym linku. Pamiętaj, aby zachować certyfikat w bezpiecznym miejscu. potrzebny jest do nawiązania połączenia z klastrem. Ponieważ pobrany certyfikat nie ma hasła, zaleca się dodanie go.

Aby ukończyć tworzenie klastra, kliknij przycisk Utwórz. Opcjonalnie możesz pobrać szablon.

Screenshot shows the Create Service Fabric cluster Summary page with a link to view and download a certificate.

Możesz zobaczyć postępy tworzenia w powiadomieniach. (Kliknij ikonę "Dzwonek" w pobliżu paska stanu w prawym górnym rogu ekranu). Po kliknięciu przycisku Przypnij do tablicy startowej podczas tworzenia klastra zobaczysz pozycję Wdrażanie klastra usługi Service Fabric przypiętego do tablicy startowej. Ten proces zajmie trochę czasu.

Aby wykonać operacje zarządzania w klastrze przy użyciu programu PowerShell lub interfejsu wiersza polecenia, musisz połączyć się z klastrem, przeczytaj więcej na temat sposobu nawiązywania połączenia z klastrem.

Wyświetlanie stanu klastra

Screenshot of cluster details in the dashboard.

Po utworzeniu klastra możesz sprawdzić klaster w portalu:

  1. Przejdź do pozycji Przeglądaj i kliknij pozycję Klastry usługi Service Fabric.
  2. Znajdź klaster i kliknij go.
  3. Możesz teraz wyświetlić szczegóły klastra na pulpicie nawigacyjnym, w tym publiczny punkt końcowy klastra oraz link do narzędzia Service Fabric Explorer.

Sekcja Monitor węzłów w bloku pulpitu nawigacyjnego klastra wskazuje liczbę maszyn wirtualnych, które są w dobrej kondycji i nie są w dobrej kondycji. Więcej szczegółów na temat kondycji klastra można znaleźć na stronie Wprowadzenie do modelu kondycji usługi Service Fabric.

Uwaga

Klastry usługi Service Fabric wymagają, aby zawsze utrzymywać dostępność i zachowywać stan określony węzłów , nazywanych "utrzymywaniem kworum". W związku z tym zazwyczaj nie można bezpiecznie zamknąć wszystkich maszyn w klastrze, chyba że po raz pierwszy wykonano pełną kopię zapasową stanu.

Zdalne nawiązywanie połączenia z wystąpieniem zestawu skalowania maszyn wirtualnych lub węzłem klastra

Każdy element NodeTypes określony w klastrze powoduje skonfigurowanie zestawu skalowania maszyn wirtualnych.

Następne kroki

W tym momencie masz bezpieczny klaster używający certyfikatów do uwierzytelniania zarządzania. Następnie połącz się z klastrem i dowiedz się, jak zarządzać wpisami tajnymi aplikacji. Dowiedz się również więcej o opcjach pomocy technicznej usługi Service Fabric.