Partilhar via

Criar um cluster do Service Fabric no Azure usando o portal do Azure

Advertência

O Application Insights para o SDK do Service Fabric não é mais suportado.

Este artigo é um guia passo a passo que o orienta pelas etapas de configuração de um cluster do Service Fabric (Linux ou Windows) no Azure usando o portal do Azure. Este guia orienta você pelas seguintes etapas:

  • Crie um cluster no Azure através do portal do Azure.
  • Autentique administradores usando certificados.

Note

Para opções de segurança mais avançadas, como autenticação de usuário com ID do Microsoft Entra e configuração de certificados para segurança de aplicativos, crie seu cluster usando o Gerenciador de Recursos do Azure.

Segurança do cluster

Os certificados são usados no Service Fabric para fornecer autenticação e criptografia para proteger vários aspetos de um cluster e seus aplicativos. Para obter mais informações sobre como os certificados são usados no Service Fabric, consulte Cenários de segurança de cluster do Service Fabric.

Se esta for a primeira vez que você está criando um cluster de malha de serviço ou está implantando um cluster para cargas de trabalho de teste, você pode pular para a próxima seção (Criar cluster no portal do Azure) e fazer com que o sistema gere os certificados necessários para seus clusters que executam cargas de trabalho de teste. Se você estiver configurando um cluster para cargas de trabalho de produção, continue lendo.

Certificado de cluster e servidor (obrigatório)

Esse certificado é necessário para proteger um cluster e impedir o acesso não autorizado a ele. Ele fornece segurança de cluster de duas maneiras:

  • Autenticação de clusters: Autentica a comunicação nó a nó para federação de clusters. Somente os nós que podem provar sua identidade com esse certificado podem ingressar no cluster.
  • Autenticação do servidor: Autentica os pontos de extremidade de gestão de cluster a um cliente de gestão, para que o cliente de gestão saiba que está a comunicar-se com o cluster real. Este certificado também fornece TLS para a API de gerenciamento HTTPS e para o Service Fabric Explorer sobre HTTPS.

Para estes efeitos, o certificado deve satisfazer os seguintes requisitos:

  • O certificado deve conter uma chave privada.
  • O certificado deve ser criado para troca de chaves, exportável para um arquivo de troca de informações pessoais (.pfx).
  • O nome do assunto do certificado deve corresponder ao domínio usado para acessar o cluster do Service Fabric. Isso é necessário para fornecer TLS para os pontos de extremidade de gerenciamento HTTPS do cluster e o Service Fabric Explorer. Não é possível obter um certificado TLS/SSL de uma autoridade de certificação (CA) para o .cloudapp.azure.com domínio. Adquira um nome de domínio personalizado para o cluster. Quando você solicita um certificado de uma autoridade de certificação, o nome do assunto do certificado deve corresponder ao nome de domínio personalizado usado para o cluster.
  • A lista de nomes DNS do certificado deve incluir o FQDN (Nome de Domínio Totalmente Qualificado) do cluster.

Certificados de autenticação de cliente

Certificados de cliente extras autenticam administradores para tarefas de gerenciamento de cluster. O Service Fabric tem dois níveis de acesso: administrador e usuário somente leitura. Deve ser utilizado, no mínimo, um único certificado de acesso administrativo. Para acesso extra em nível de usuário, um certificado separado deve ser fornecido. Para obter mais informações sobre funções de acesso, consulte Controle de acesso baseado em função para clientes do Service Fabric.

Não é necessário carregar certificados de autenticação de cliente no Cofre da Chave para trabalhar com o Service Fabric. Esses certificados só precisam ser fornecidos aos usuários autorizados para gerenciamento de cluster.

Note

O Microsoft Entra ID é a maneira recomendada de autenticar clientes para operações de gerenciamento de cluster. Para usar a ID do Microsoft Entra, você deve criar um cluster usando o Gerenciador de Recursos do Azure.

Certificados de candidatura (opcional)

Qualquer número de certificados extras pode ser instalado em um cluster para fins de segurança do aplicativo. Antes de criar seu cluster, considere os cenários de segurança do aplicativo que exigem que um certificado seja instalado nos nós, como:

  • Criptografia e descriptografia de valores de configuração do aplicativo
  • Criptografia de dados entre nós durante a replicação

Os certificados de aplicativo não podem ser configurados ao criar um cluster por meio do portal do Azure. Para configurar certificados de aplicativo no momento da configuração do cluster, você deve criar um cluster usando o Azure Resource Manager. Você também pode adicionar certificados de aplicativo ao cluster depois que ele for criado.

Criar cluster no portal do Azure

Criar um cluster de produção para atender às necessidades do seu aplicativo envolve algum planejamento, para ajudá-lo com isso, é recomendável que você leia e compreenda o documento de considerações de planejamento do Cluster do Service Fabric .

Pesquisar o recurso de cluster do Service Fabric

Inicie sessão no portal Azure. Clique em Criar um recurso para adicionar um novo modelo de recurso. Procure o modelo de Cluster do Service Fabric no Marketplace em Tudo. Selecione Service Fabric Cluster na lista.

procure o modelo de cluster do Service Fabric no portal do Azure.

Navegue até a folha Cluster do Service Fabric e clique em Criar.

A folha Criar cluster do Service Fabric tem as quatro etapas a seguir:

1. Noções básicas

Na folha Noções básicas, você precisa fornecer os detalhes básicos para o cluster.

  1. Insira o nome do cluster.

  2. Insira um Nome de usuário e senha para a Área de Trabalho Remota para as VMs.

  3. Certifique-se de selecionar a Subscrição à qual pretende que o seu cluster seja implantado, especialmente se tiver várias subscrições.

  4. Crie um novo grupo de recursos. É melhor dar-lhe o mesmo nome que o cluster, pois ajuda a encontrá-los mais tarde, especialmente quando você está tentando fazer alterações na implantação ou excluir o cluster.

    Note

    Embora você possa decidir usar um grupo de recursos existente, é uma boa prática criar um novo grupo de recursos. Isso facilita a exclusão de clusters e todos os recursos que ele usa.

  5. Selecione o local no qual você deseja criar o cluster. Se estiver a planear utilizar um certificado existente que já carregou para um cofre de chaves, tem de utilizar a mesma região em que se encontra o cofre de chaves.

2. Configuração do cluster

Criar um tipo de nó

Configure os nós do cluster. Os tipos de nó definem os tamanhos das VMs, o número de VMs e as suas propriedades. Seu cluster pode ter mais de um tipo de nó, mas o tipo de nó primário (o primeiro que você define no portal) deve ter pelo menos cinco VMs, pois esse é o tipo de nó onde os serviços do sistema Service Fabric são colocados. Não configure Propriedades de Posicionamento porque uma propriedade de posicionamento padrão de "NodeTypeName" é adicionada automaticamente.

Note

Um cenário comum para vários tipos de nó é uma aplicação que contém um serviço de front-end e um serviço de back-end. Você deseja colocar o serviço front-end em VMs menores (tamanhos de VM como D2_V2) com portas abertas para a Internet e colocar o serviço back-end em VMs maiores (com tamanhos de VM como D3_V2, D6_V2, D15_V2 e assim por diante) sem portas voltadas para a Internet abertas.

  1. Escolha um nome para o tipo de nó que deve ter entre 1 e 12 caracteres, contendo apenas letras e números.
  2. O tamanho mínimo das VMs para o tipo de nó primário é determinado pelo nível de durabilidade escolhido para o cluster. O padrão para o nível de durabilidade é bronze. Para obter mais informações sobre durabilidade, consulte como escolher a durabilidade do cluster do Service Fabric.
  3. Selecione o tamanho da máquina virtual. As VMs da série D têm unidades SSD e são altamente recomendadas para aplicativos com monitoração de estado. Não use nenhum SKU de VM que tenha núcleos parciais ou menos de 10 GB de capacidade de disco disponível. Consulte o documento de consideração de planejamento de cluster do service fabric para obter ajuda com a seleção do tamanho da VM.
  4. Clusters de nó único e clusters de três nós destinam-se apenas ao uso de teste. Eles não têm suporte para quaisquer cargas de trabalho de produção em execução contínua.
  5. Escolha a capacidade inicial do conjunto de dimensionamento da máquina virtual para o tipo de nó. Você pode dimensionar ou reduzir o número de VMs em um tipo de nó mais tarde, mas no tipo de nó primário, o mínimo é cinco para cargas de trabalho de produção. Outros tipos de nó podem ter uma VM, no mínimo. O número mínimo de VMs para o tipo de nó primário aumenta a confiabilidade do cluster.
  6. Configure pontos de extremidade personalizados. Este campo permite que você insira uma lista separada por vírgulas de portas que você deseja expor por meio do Balanceador de Carga do Azure para a Internet pública para seus aplicativos. Por exemplo, se você planeja implantar um aplicativo Web no cluster, digite "80" aqui para permitir o tráfego na porta 80 para o cluster. Para obter mais informações sobre pontos de extremidade, consulte Comunicação com aplicações.
  7. Habilite o proxy reverso. O proxy reverso do Service Fabric ajuda os microserviços em execução num cluster do Service Fabric a descobrir e se comunicar com outros serviços que têm pontos de extremidade HTTP.
  8. De volta ao painel Configuração do cluster, sob +Mostrar configurações opcionais, configure os diagnósticos do cluster. Por padrão, os diagnósticos são habilitados no cluster para ajudar na solução de problemas. Se quiser desativar o diagnóstico, altere o botão Status para Desativado. Não é recomendável desativar o diagnóstico. Se você já tiver o projeto do Application Insights criado, forneça sua chave, para que os rastreamentos do aplicativo sejam roteados para ele.
  9. Inclua o serviço DNS. O serviço DNS é um serviço opcional que permite encontrar outros serviços usando o protocolo DNS.
  10. Selecione o modo de atualização de malha para o qual você deseja definir seu cluster. Selecione Automático, se quiser que o sistema pegue automaticamente a versão mais recente disponível e tente atualizar seu cluster para ele. Defina o modo como Manual, se quiser escolher uma versão suportada. Para obter mais informações sobre o modo de upgrade do Fabric, consulte o documento de Upgrade de Cluster do Service Fabric.

Note

Suportamos apenas clusters que executam versões suportadas do Service Fabric. Ao selecionar o modo Manual , você assume a responsabilidade de atualizar seu cluster para uma versão suportada.

3. Segurança

Captura de ecrã das configurações de segurança no portal do Azure.

Para facilitar a configuração de um cluster de teste seguro, fornecemos a opção Básico . Se você já tiver um certificado e o tiver carregado no cofre de chaves (e habilitado o cofre de chaves para implantação), use a opção Personalizado .

Opção básica

Siga as telas para adicionar ou reutilizar um cofre de chaves existente e adicionar um certificado. A adição do certificado é um processo síncrono e, portanto, você terá que esperar que o certificado seja criado.

Resista à tentação de navegar para longe da tela até que o processo anterior seja concluído.

A captura de tela mostra a página Segurança com Básico selecionado, o painel Cofre de chave e o painel Criar cofre de chave.

Agora que o cofre de chaves foi criado, edite as suas políticas de acesso para o cofre de chaves.

Clique em Editar políticas de acesso e, em seguida, em Mostrar políticas de acesso avançadas e habilite o acesso às Máquinas Virtuais do Azure para implantação. É recomendável ativar também a implantação do template. Depois de fazer suas seleções, não se esqueça de clicar no botão Salvar e fechar o painel Políticas de acesso .

A captura de tela mostra o painel Criar cluster do Service Fabric com o painel Segurança aberto e o painel Políticas de acesso aberto.

Digite o nome do certificado e clique em OK.

A captura de tela mostra o painel Criar cluster do Service Fabric com Segurança selecionada como antes, mas sem a explicação de que o cofre de chaves não está habilitado.

Opção personalizada

Ignore esta seção, se você já tiver executado as etapas na opção básica .

A captura de tela mostra a caixa de diálogo Segurança Configurar configurações de segurança do cluster.

Você precisa das informações do cofre de chaves de origem, da URL do certificado e da impressão digital do certificado para concluir a página de segurança. Se você não tiver isso à mão, abra outra janela do navegador e, no portal do Azure, faça o seguinte:

  1. Navegue para o serviço Key Vault.

  2. Selecione a guia "Propriedades" e copie o 'ID do recurso' para "Cofre da chave de origem" na outra janela do navegador.

    A captura de ecrã mostra a janela

  3. Agora, selecione a guia "Certificados".

  4. Clique no identificador do certificado, que redirecionará para a página de Versões.

  5. Clique nos GUIDs que você vê na versão atual.

    A captura de tela mostra a janela Certificado do cofre de chaves

  6. Agora você deve estar na tela como abaixo. Copie a impressão digital hexadecimal SHA-1 para "Impressão digital do certificado" noutra janela do navegador.

  7. Copie o 'Identificador Secreto' para o "URL do Certificado" noutra janela do navegador.

    A captura de tela mostra a caixa de diálogo Versão do Certificado com uma opção para copiar o Identificador do Certificado.

Marque a caixa Configurar configurações avançadas para inserir certificados de cliente para cliente administrador e cliente somente leitura. Nesses campos, insira o hash do certificado do cliente administrador e o hash do certificado do cliente de utilizador com permissões de só leitura, se aplicável. Quando os administradores tentam se conectar ao cluster, eles recebem acesso somente se tiverem um certificado com uma impressão digital que corresponda aos valores de impressão digital inseridos aqui.

4. Resumo

Agora você está pronto para implantar o cluster. Antes de fazer isso, descarregue o certificado e procure o link dentro da caixa azul grande de informações. Certifique-se de manter o certificado em um local seguro, você precisa dele para se conectar ao seu cluster. Como o certificado que você baixou não tem uma senha, é aconselhável que você adicione uma.

Para concluir a criação do cluster, clique em Criar. Opcionalmente, você pode baixar o modelo.

Você pode ver o progresso da criação nas notificações. (Clique no ícone "Sino" perto da barra de estado no canto superior direito do ecrã.) Se clicaste em Fixar no Menu Iniciar ao criar o cluster, verás Implantando o Cluster do Service Fabric fixado no Menu Iniciar. Este processo demora algum tempo.

Para executar operações de gerenciamento em seu cluster usando PowerShell ou CLI, você precisa se conectar ao cluster, ler mais sobre como se conectar ao cluster.

Ver o estado do cluster

Captura de ecrã dos detalhes do cluster no painel de controlo.

Depois que o cluster for criado, você poderá inspecioná-lo no portal:

  1. Vá para Navegar e clique em Clusters do Service Fabric.
  2. Localize o cluster e clique nele.
  3. Agora você pode ver os detalhes do seu cluster no painel, incluindo o ponto de extremidade público do cluster e um link para o Service Fabric Explorer.

A seção Monitor de Nó na folha do painel do cluster indica o número de VMs que estão saudáveis e com problemas. Você pode encontrar mais detalhes sobre a integridade do cluster em Introdução ao modelo de integridade do Service Fabric.

Note

Os clusters do Service Fabric exigem que um determinado número de nós esteja sempre ativo para manter a disponibilidade e preservar o estado - conhecido como "manutenção do quórum". Portanto, normalmente não é seguro desligar todas as máquinas no cluster, a menos que você tenha executado primeiro um backup completo do seu estado.

Conexão remota a uma instância do Conjunto de Dimensionamento de Máquina Virtual ou a um nó de cluster

Cada um dos NodeTypes que especificar no seu cluster resulta na configuração de um Conjunto de Dimensionamento de Máquinas Virtuais.

Próximos passos

Neste ponto, você tem um cluster seguro usando certificados para autenticação de gerenciamento. Em seguida, conecte-se ao cluster e saiba como gerenciar segredos de aplicativos. Além disso, saiba mais sobre as opções de suporte do Service Fabric.

  • Last updated on