Service Fabric-fürt létrehozása az Azure Portalon
Ez egy részletes útmutató, amely végigvezeti egy Service Fabric-fürt (Linux vagy Windows) Azure-ban az Azure Portal használatával történő beállításának lépésein. Ez az útmutató végigvezeti a következő lépéseken:
- Hozzon létre egy fürtöt az Azure Portalon keresztül az Azure-ban.
- Rendszergazdák hitelesítése tanúsítványok használatával.
Megjegyzés:
A speciálisabb biztonsági beállítások, például a Microsoft Entra-azonosítóval történő felhasználói hitelesítés és az alkalmazásbiztonság tanúsítványainak beállítása érdekében hozza létre a fürtöt az Azure Resource Manager használatával.
Fürtbiztonság
A Service Fabric tanúsítványokat használ a hitelesítéshez és titkosításhoz a fürtök és a rajtuk található alkalmazások különféle részeinek védelmére. A tanúsítványok Service Fabricban való használatával kapcsolatos további információkért lásd a Service Fabric-fürtök biztonsági forgatókönyveit.
Ha ez az első alkalom, hogy service fabric-fürtöt hoz létre, vagy tesztterhelésekhez helyez üzembe egy fürtöt, ugorjon a következő szakaszra (fürt létrehozása az Azure Portalon), és a rendszer hozza létre a tesztterheléseket futtató fürtökhöz szükséges tanúsítványokat. Ha éles számítási feladatokhoz állít be fürtöt, folytassa az olvasást.
Fürt- és kiszolgálótanúsítvány (kötelező)
Ez a tanúsítvány szükséges egy fürt védelméhez és a jogosulatlan hozzáférés megakadályozásához. A fürtbiztonságot néhány módon biztosítja:
- Fürthitelesítés: Csomópontok közötti kommunikáció hitelesítése a fürt összevonásához. Csak azok a csomópontok csatlakozhatnak a fürthöz, amelyek igazolhatják identitásukat ezzel a tanúsítvánnyal.
- Kiszolgálóhitelesítés: Hitelesíti a fürtkezelési végpontokat egy felügyeleti ügyfélen, hogy a felügyeleti ügyfél tudja, hogy a valódi fürthöz beszél. Ez a tanúsítvány TLS-t is biztosít a HTTPS felügyeleti API-hoz és a Service Fabric Explorerhez HTTPS-en keresztül.
E célok érdekében a tanúsítványnak meg kell felelnie a következő követelményeknek:
- A tanúsítványnak tartalmaznia kell egy titkos kulcsot.
- A tanúsítványt kulcscsere céljából kell létrehozni, amely egy személyes adatcsere (.pfx) fájlba exportálható.
- A tanúsítvány tulajdonosának nevének meg kell egyeznie a Service Fabric-fürt eléréséhez használt tartománnyal . Ez szükséges ahhoz, hogy tLS-t biztosítson a fürt HTTPS-felügyeleti végpontjaihoz és a Service Fabric Explorerhez. A tartomány hitelesítésszolgáltatójától (CA) nem szerezhet be TLS/SSL-tanúsítványt
.cloudapp.azure.com
. Szerezze be a fürt egyéni tartománynevét. Amikor tanúsítványt kér egy hitelesítésszolgáltatótól, a tanúsítvány tulajdonosának meg kell egyeznie a fürthöz használt egyéni tartománynévvel. - A tanúsítvány DNS-nevek listájának tartalmaznia kell a fürt teljes tartománynevét (FQDN).
Ügyfél-hitelesítési tanúsítványok
A fürtkezelési feladatokhoz további ügyféltanúsítványok hitelesítik a rendszergazdákat. A Service Fabric két hozzáférési szinttel rendelkezik: rendszergazda és írásvédett felhasználó. Legalább egyetlen tanúsítványt kell használni a rendszergazdai hozzáféréshez. További felhasználói szintű hozzáféréshez külön tanúsítványt kell megadni. A hozzáférési szerepkörökkel kapcsolatos további információkért lásd a Service Fabric-ügyfelek szerepköralapú hozzáférés-vezérlését.
A Service Fabric használatához nem kell ügyfél-hitelesítési tanúsítványokat feltöltenie a Key Vaultba. Ezeket a tanúsítványokat csak a fürtkezelésre jogosult felhasználóknak kell megadni.
Megjegyzés:
A Microsoft Entra ID az ügyfelek fürtkezelési műveletekhez való hitelesítésének ajánlott módja. A Microsoft Entra ID használatához létre kell hoznia egy fürtöt az Azure Resource Manager használatával.
Alkalmazástanúsítványok (nem kötelező)
Tetszőleges számú további tanúsítvány telepíthető egy fürtre alkalmazásbiztonsági okokból. A fürt létrehozása előtt vegye figyelembe azokat az alkalmazásbiztonsági forgatókönyveket, amelyekhez tanúsítványt kell telepíteni a csomópontokra, például:
- Alkalmazáskonfigurációs értékek titkosítása és visszafejtése
- Adatok titkosítása csomópontokon a replikáció során
Az alkalmazástanúsítványok nem konfigurálhatók fürt azure portalon keresztüli létrehozásakor. Az alkalmazástanúsítványok fürtbeállításkor történő konfigurálásához létre kell hoznia egy fürtöt az Azure Resource Manager használatával. A létrehozása után alkalmazástanúsítványokat is hozzáadhat a fürthöz.
Fürt létrehozása az Azure Portalon
Az alkalmazás igényeinek megfelelő éles fürt létrehozása némi tervezést igényel, ennek érdekében erősen ajánlott elolvasni és értelmezni a Service Fabric-fürt tervezési szempontjait tartalmazó dokumentumot .
A Service Fabric-fürt erőforrásának keresése
Jelentkezzen be az Azure Portalra. Új erőforrássablon hozzáadásához kattintson az Erőforrás létrehozása gombra. Keresse meg a Service Fabric-fürt sablont a Marketplace Minden területén. Válassza ki a Service Fabric-fürtöt a listából.
Lépjen a Service Fabric-fürt paneljére, és kattintson a Létrehozás gombra.
A Service Fabric-fürt létrehozása panelen a következő négy lépés található:
1. Alapvető műveletek
Az Alapszintű beállítások panelen meg kell adnia a fürt alapvető adatait.
Adja meg a fürt nevét.
Adjon meg egy felhasználónevet és jelszót a virtuális gépek távoli asztalához.
Jelölje ki azt az előfizetést , amelybe a fürtöt telepíteni szeretné, különösen akkor, ha több előfizetéssel rendelkezik.
Hozzon létre egy új erőforráscsoportot. A legjobb, ha ugyanazt a nevet adja neki, mint a fürt, mivel segít később megtalálni őket, különösen akkor, ha módosítani szeretné az üzembe helyezést vagy törli a fürtöt.
Megjegyzés:
Bár dönthet úgy, hogy egy meglévő erőforráscsoportot használ, célszerű új erőforráscsoportot létrehozni. Ez megkönnyíti a fürtök és az összes használt erőforrás törlését.
Válassza ki azt a helyet , ahol létre szeretné hozni a fürtöt. Ha olyan meglévő tanúsítványt szeretne használni, amelyet már feltöltött egy kulcstartóba, ugyanazt a régiót kell használnia, amelyben a Key Vault található.
2. Fürtkonfiguráció
Konfigurálja a fürtcsomópontokat. A csomóponttípusok határozzák meg a virtuális gépek méretét, a virtuális gépek számát és tulajdonságait. A fürt több csomóponttípussal is rendelkezhet, de az elsődleges csomóponttípusnak (az első, amelyet a portálon definiál) legalább öt virtuális géppel kell rendelkeznie, mivel ez az a csomóponttípus, ahol a Service Fabric rendszerszolgáltatásai találhatók. Ne konfigurálja az elhelyezési tulajdonságokat, mert a rendszer automatikusan hozzáadja a NodeTypeName alapértelmezett elhelyezési tulajdonságát.
Megjegyzés:
Több csomóponttípus gyakori forgatókönyve egy előtérbeli szolgáltatást és egy háttérszolgáltatást tartalmazó alkalmazás. Az előtérbeli szolgáltatást kisebb virtuális gépekre (például D2_V2) szeretné helyezni, az internet felé nyitott portokkal, és a háttérszolgáltatást nagyobb virtuális gépekre (például D3_V2, D6_V2, D15_V2 stb.) szeretné helyezni, és nem nyílik meg az internetre néző port.
- Válasszon nevet a csomóponttípusnak (1–12 karakter, amely csak betűket és számokat tartalmaz).
- Az elsődleges csomóponttípushoz tartozó virtuális gépek minimális méretét a fürthöz választott tartóssági szint határozza meg. A tartóssági szint alapértelmezett értéke a bronz. A tartósságról további információt a Service Fabric-fürt tartósságának kiválasztásával kapcsolatban talál.
- Válassza ki a virtuális gép méretét. A D sorozatú virtuális gépek SSD-meghajtókkal rendelkeznek, és kifejezetten ajánlottak állapotalapú alkalmazásokhoz. Ne használjon olyan virtuálisgép-termékváltozatot, amely részleges magokkal rendelkezik, vagy kevesebb mint 10 GB rendelkezésre álló lemezkapacitással rendelkezik. A virtuális gép méretének kiválasztásával kapcsolatos segítségért tekintse meg a Service Fabric-fürt tervezési szempontjait tartalmazó dokumentumot.
- Az egycsomópontos fürt és a három csomópontfürt csak tesztelési célra szolgál. A futó éles számítási feladatokhoz nem támogatottak.
- Válassza ki a csomóponttípushoz tartozó kezdeti virtuálisgép-méretezési csoport kapacitását . A csomóponttípusokban lévő virtuális gépek számát később skálázhatja vagy kicsinyítheti, de az elsődleges csomóponttípuson az éles számítási feladatok esetében a minimum öt. Más csomóponttípusok legalább egy virtuális géppel rendelkezhetnek. Az elsődleges csomóponttípushoz tartozó virtuális gépek minimális száma határozza meg a fürt megbízhatóságát.
- Egyéni végpontok konfigurálása. Ez a mező lehetővé teszi, hogy vesszővel tagolt listát adjon meg azoknak a portoknak a vesszővel elválasztott listájáról, amelyeket az Azure Load Balanceren keresztül szeretne elérhetővé tenni az alkalmazások nyilvános interneten keresztül. Ha például webalkalmazást szeretne üzembe helyezni a fürtön, itt adja meg a "80" értéket, hogy engedélyezze a 80-as porton a fürtbe irányuló forgalmat. A végpontokkal kapcsolatos további információkért lásd az alkalmazásokkal való kommunikációt
- Fordított proxy engedélyezése. A Service Fabric fordított proxyja segít a Service Fabric-fürtben futó mikroszolgáltatásoknak felderíteni és kommunikálni más http-végpontokkal rendelkező szolgáltatásokkal.
- A Fürtkonfiguráció panel +Választható beállítások megjelenítése területén konfigurálja a fürtdiagnosztikát. Alapértelmezés szerint a diagnosztika engedélyezve van a fürtön a hibaelhárítási problémák megoldásához. Ha le szeretné tiltani a diagnosztikát, módosítsa az Állapot kapcsolót Ki állásra. A diagnosztika kikapcsolása nem ajánlott. Ha már létrehozta az Application Elemzések projektet, adja meg a kulcsát, hogy az alkalmazás nyomkövetései hozzá legyenek irányítva.
- Adja meg a DNS-szolgáltatást. A DNS-szolgáltatás opcionális szolgáltatás, amely lehetővé teszi, hogy más szolgáltatásokat keressen a DNS protokoll használatával.
- Válassza ki azt a Hálófrissítési módot , amelyhez a fürtöt be szeretné állítani. Válassza az Automatikus lehetőséget, ha azt szeretné, hogy a rendszer automatikusan vegye fel a legújabb elérhető verziót, és próbálja meg frissíteni a fürtöt. Ha támogatott verziót szeretne választani, állítsa a módot manuálisra. A Háló frissítési módjáról további információt a Service Fabric-fürt frissítési dokumentumában talál.
Megjegyzés:
Csak a Service Fabric támogatott verzióit futtató fürtöket támogatjuk. A Manuális mód kiválasztásával felelősséget vállal a fürt támogatott verzióra való frissítéséért.
3. Biztonság
A biztonságos tesztfürt beállításának megkönnyítése érdekében az Alapszintű lehetőséget biztosítottuk. Ha már rendelkezik tanúsítvánnyal, és feltöltötte a kulcstartóba (és engedélyezte a kulcstartó üzembe helyezését), akkor használja az Egyéni lehetőséget
Alapszintű beállítás
Kövesse a képernyőket egy meglévő kulcstartó hozzáadásához vagy újrafelhasználásához, valamint egy tanúsítvány hozzáadásához. A tanúsítvány hozzáadása szinkron folyamat, ezért meg kell várnia a tanúsítvány létrehozását.
Ellenállni a kísértésnek, hogy navigáljon a képernyőről, amíg az előző folyamat be nem fejeződik.
A kulcstartó létrehozása után szerkessze a kulcstartó hozzáférési szabályzatait.
Kattintson a Hozzáférési szabályzatok szerkesztése elemre, majd a Speciális hozzáférési szabályzatok megjelenítése parancsra, és engedélyezze az Azure-beli virtuális gépekhez való hozzáférést az üzembe helyezéshez. Javasoljuk, hogy a sablon üzembe helyezését is engedélyezze. Miután kiválasztotta a beállításokat, ne felejtse el a Mentés gombra kattintani, és zárja be az Access-szabályzatok panelt.
Adja meg a tanúsítvány nevét, és kattintson az OK gombra.
Egyéni beállítás
Hagyja ki ezt a szakaszt, ha már végrehajtotta a lépéseket az Alapszintű beállításban.
A biztonsági oldal befejezéséhez szüksége van a forráskulcstartóra, a tanúsítvány URL-címére és a tanúsítvány ujjlenyomatára. Ha nincs kéznél, nyisson meg egy másik böngészőablakot, és az Azure Portalon tegye a következőket
Lépjen a Key Vault szolgáltatáshoz.
Válassza a "Tulajdonságok" lapot, és másolja az "ERŐFORRÁS-azonosítót" a másik böngészőablak "Forráskulcs-tároló" elemére
Most válassza a "Tanúsítványok" lapot.
Kattintson a tanúsítvány ujjlenyomatára, amely a Verziók lapra viszi.
Kattintson az aktuális verzió alatt látható GRAFIKUS GUID-kre.
Most az alábbihoz hasonlóan a képernyőn kell lennie. Másolja a hexadecimális SHA-1 ujjlenyomatot a másik böngészőablak "Tanúsítvány ujjlenyomata" elemére
Másolja a titkos azonosítót a másik böngészőablakban található "Tanúsítvány URL-címére".
A Speciális beállítások konfigurálása jelölőnégyzet bejelölésével adja meg a rendszergazdai ügyfél és az írásvédett ügyfél ügyféltanúsítványait. Ezekben a mezőkben adja meg a rendszergazdai ügyféltanúsítvány ujjlenyomatát és az írásvédett felhasználói ügyféltanúsítvány ujjlenyomatát, ha van ilyen. Amikor a rendszergazdák megpróbálnak csatlakozni a fürthöz, csak akkor kapnak hozzáférést, ha rendelkezik az itt megadott ujjlenyomatértékekkel egyező ujjlenyomattal rendelkező tanúsítvánnyal.
4. Összefoglalás
Most már készen áll a fürt üzembe helyezésére. Mielőtt ezt tenné, töltse le a tanúsítványt, és nézze meg a hivatkozás nagy kék információs mezőjét. Ügyeljen arra, hogy a tanúsítvány biztonságos helyen legyen. a fürthöz való csatlakozáshoz szüksége van rá. Mivel a letöltött tanúsítvány nem rendelkezik jelszóval, javasoljuk, hogy adjon hozzá egyet.
A fürt létrehozásának befejezéséhez kattintson a Létrehozás gombra. A sablont igény szerint letöltheti.
A létrehozás folyamatát az értesítésekben követheti nyomon. (Kattintson a képernyő jobb felső sarkában található állapotsor melletti "Harang" ikonra.) Ha a fürt létrehozásakor a Rögzítés gombra kattintott a startboardon, a Service Fabric-fürt üzembe helyezése a starttáblára rögzítve jelenik meg. Ez a folyamat eltarthat egy ideig.
Ahhoz, hogy felügyeleti műveleteket hajthasson végre a fürtön a PowerShell vagy a parancssori felület használatával, csatlakoznia kell a fürthöz. További információ a fürthöz való csatlakozásról.
A fürt állapotának megtekintése
A fürt létrehozása után a portálon ellenőrizheti a fürtöt:
- Nyissa meg a Tallózás elemet, és kattintson a Service Fabric-fürtök elemre.
- Keresse meg a fürtöt, és kattintson rá.
- A fürt részletei megjelennek az irányítópulton, beleértve a fürt nyilvános végpontját és egy, a Service Fabric Explorerre mutató hivatkozást.
A fürt irányítópult paneljének Csomópontfigyelő szakasza az kifogástalan és nem kifogástalan virtuális gépek számát jelzi. A fürt állapotával kapcsolatos további részleteket a Service Fabric állapotmodelljének bemutatásakor talál.
Megjegyzés:
A Service Fabric-fürtök bizonyos számú csomópontot igényelnek a rendelkezésre állás fenntartásához és az állapot megőrzéséhez – ezt nevezzük "kvórum fenntartásának". Ezért általában nem biztonságos a fürt összes gépének leállítása, kivéve, ha először végzett teljes biztonsági másolatot az állapotáról.
Távoli csatlakozás virtuálisgép-méretezési csoportpéldányhoz vagy fürtcsomóponthoz
A fürtben megadott csomóponttípusok mindegyike egy virtuálisgép-méretezési csoport beállítását eredményezi.
Következő lépések
Jelenleg egy biztonságos fürttel rendelkezik, amely tanúsítványokat használ a felügyeleti hitelesítéshez. Ezután csatlakozzon a fürthöz, és ismerje meg, hogyan kezelheti az alkalmazás titkos kulcsait. Emellett megismerheti a Service Fabric támogatási lehetőségeit is.