Service Fabric-fürt létrehozása az Azure Portalon

  • Cikk

Ez egy részletes útmutató, amely végigvezeti egy Service Fabric-fürt (Linux vagy Windows) Azure-ban az Azure Portal használatával történő beállításának lépésein. Ez az útmutató végigvezeti a következő lépéseken:

  • Hozzon létre egy fürtöt az Azure Portalon keresztül az Azure-ban.
  • Rendszergazdák hitelesítése tanúsítványok használatával.

Megjegyzés:

A speciálisabb biztonsági beállítások, például a Microsoft Entra-azonosítóval történő felhasználói hitelesítés és az alkalmazásbiztonság tanúsítványainak beállítása érdekében hozza létre a fürtöt az Azure Resource Manager használatával.

Fürtbiztonság

A Service Fabric tanúsítványokat használ a hitelesítéshez és titkosításhoz a fürtök és a rajtuk található alkalmazások különféle részeinek védelmére. A tanúsítványok Service Fabricban való használatával kapcsolatos további információkért lásd a Service Fabric-fürtök biztonsági forgatókönyveit.

Ha ez az első alkalom, hogy service fabric-fürtöt hoz létre, vagy tesztterhelésekhez helyez üzembe egy fürtöt, ugorjon a következő szakaszra (fürt létrehozása az Azure Portalon), és a rendszer hozza létre a tesztterheléseket futtató fürtökhöz szükséges tanúsítványokat. Ha éles számítási feladatokhoz állít be fürtöt, folytassa az olvasást.

Fürt- és kiszolgálótanúsítvány (kötelező)

Ez a tanúsítvány szükséges egy fürt védelméhez és a jogosulatlan hozzáférés megakadályozásához. A fürtbiztonságot néhány módon biztosítja:

  • Fürthitelesítés: Csomópontok közötti kommunikáció hitelesítése a fürt összevonásához. Csak azok a csomópontok csatlakozhatnak a fürthöz, amelyek igazolhatják identitásukat ezzel a tanúsítvánnyal.
  • Kiszolgálóhitelesítés: Hitelesíti a fürtkezelési végpontokat egy felügyeleti ügyfélen, hogy a felügyeleti ügyfél tudja, hogy a valódi fürthöz beszél. Ez a tanúsítvány TLS-t is biztosít a HTTPS felügyeleti API-hoz és a Service Fabric Explorerhez HTTPS-en keresztül.

E célok érdekében a tanúsítványnak meg kell felelnie a következő követelményeknek:

  • A tanúsítványnak tartalmaznia kell egy titkos kulcsot.
  • A tanúsítványt kulcscsere céljából kell létrehozni, amely egy személyes adatcsere (.pfx) fájlba exportálható.
  • A tanúsítvány tulajdonosának nevének meg kell egyeznie a Service Fabric-fürt eléréséhez használt tartománnyal . Ez szükséges ahhoz, hogy tLS-t biztosítson a fürt HTTPS-felügyeleti végpontjaihoz és a Service Fabric Explorerhez. A tartomány hitelesítésszolgáltatójától (CA) nem szerezhet be TLS/SSL-tanúsítványt .cloudapp.azure.com . Szerezze be a fürt egyéni tartománynevét. Amikor tanúsítványt kér egy hitelesítésszolgáltatótól, a tanúsítvány tulajdonosának meg kell egyeznie a fürthöz használt egyéni tartománynévvel.
  • A tanúsítvány DNS-nevek listájának tartalmaznia kell a fürt teljes tartománynevét (FQDN).

Ügyfél-hitelesítési tanúsítványok

A fürtkezelési feladatokhoz további ügyféltanúsítványok hitelesítik a rendszergazdákat. A Service Fabric két hozzáférési szinttel rendelkezik: rendszergazda és írásvédett felhasználó. Legalább egyetlen tanúsítványt kell használni a rendszergazdai hozzáféréshez. További felhasználói szintű hozzáféréshez külön tanúsítványt kell megadni. A hozzáférési szerepkörökkel kapcsolatos további információkért lásd a Service Fabric-ügyfelek szerepköralapú hozzáférés-vezérlését.

A Service Fabric használatához nem kell ügyfél-hitelesítési tanúsítványokat feltöltenie a Key Vaultba. Ezeket a tanúsítványokat csak a fürtkezelésre jogosult felhasználóknak kell megadni.

Megjegyzés:

A Microsoft Entra ID az ügyfelek fürtkezelési műveletekhez való hitelesítésének ajánlott módja. A Microsoft Entra ID használatához létre kell hoznia egy fürtöt az Azure Resource Manager használatával.

Alkalmazástanúsítványok (nem kötelező)

Tetszőleges számú további tanúsítvány telepíthető egy fürtre alkalmazásbiztonsági okokból. A fürt létrehozása előtt vegye figyelembe azokat az alkalmazásbiztonsági forgatókönyveket, amelyekhez tanúsítványt kell telepíteni a csomópontokra, például:

  • Alkalmazáskonfigurációs értékek titkosítása és visszafejtése
  • Adatok titkosítása csomópontokon a replikáció során

Az alkalmazástanúsítványok nem konfigurálhatók fürt azure portalon keresztüli létrehozásakor. Az alkalmazástanúsítványok fürtbeállításkor történő konfigurálásához létre kell hoznia egy fürtöt az Azure Resource Manager használatával. A létrehozása után alkalmazástanúsítványokat is hozzáadhat a fürthöz.

Fürt létrehozása az Azure Portalon

Az alkalmazás igényeinek megfelelő éles fürt létrehozása némi tervezést igényel, ennek érdekében erősen ajánlott elolvasni és értelmezni a Service Fabric-fürt tervezési szempontjait tartalmazó dokumentumot .

A Service Fabric-fürt erőforrásának keresése

Jelentkezzen be az Azure Portalra. Új erőforrássablon hozzáadásához kattintson az Erőforrás létrehozása gombra. Keresse meg a Service Fabric-fürt sablont a Marketplace Minden területén. Válassza ki a Service Fabric-fürtöt a listából.

search for Service Fabric cluster template on the Azure portal.

Lépjen a Service Fabric-fürt paneljére, és kattintson a Létrehozás gombra.

A Service Fabric-fürt létrehozása panelen a következő négy lépés található:

1. Alapvető műveletek

Screenshot of creating a new resource group.

Az Alapszintű beállítások panelen meg kell adnia a fürt alapvető adatait.

  1. Adja meg a fürt nevét.

  2. Adjon meg egy felhasználónevet és jelszót a virtuális gépek távoli asztalához.

  3. Jelölje ki azt az előfizetést , amelybe a fürtöt telepíteni szeretné, különösen akkor, ha több előfizetéssel rendelkezik.

  4. Hozzon létre egy új erőforráscsoportot. A legjobb, ha ugyanazt a nevet adja neki, mint a fürt, mivel segít később megtalálni őket, különösen akkor, ha módosítani szeretné az üzembe helyezést vagy törli a fürtöt.

    Megjegyzés:

    Bár dönthet úgy, hogy egy meglévő erőforráscsoportot használ, célszerű új erőforráscsoportot létrehozni. Ez megkönnyíti a fürtök és az összes használt erőforrás törlését.

  5. Válassza ki azt a helyet , ahol létre szeretné hozni a fürtöt. Ha olyan meglévő tanúsítványt szeretne használni, amelyet már feltöltött egy kulcstartóba, ugyanazt a régiót kell használnia, amelyben a Key Vault található.

2. Fürtkonfiguráció

Create a node type

Konfigurálja a fürtcsomópontokat. A csomóponttípusok határozzák meg a virtuális gépek méretét, a virtuális gépek számát és tulajdonságait. A fürt több csomóponttípussal is rendelkezhet, de az elsődleges csomóponttípusnak (az első, amelyet a portálon definiál) legalább öt virtuális géppel kell rendelkeznie, mivel ez az a csomóponttípus, ahol a Service Fabric rendszerszolgáltatásai találhatók. Ne konfigurálja az elhelyezési tulajdonságokat, mert a rendszer automatikusan hozzáadja a NodeTypeName alapértelmezett elhelyezési tulajdonságát.

Megjegyzés:

Több csomóponttípus gyakori forgatókönyve egy előtérbeli szolgáltatást és egy háttérszolgáltatást tartalmazó alkalmazás. Az előtérbeli szolgáltatást kisebb virtuális gépekre (például D2_V2) szeretné helyezni, az internet felé nyitott portokkal, és a háttérszolgáltatást nagyobb virtuális gépekre (például D3_V2, D6_V2, D15_V2 stb.) szeretné helyezni, és nem nyílik meg az internetre néző port.

  1. Válasszon nevet a csomóponttípusnak (1–12 karakter, amely csak betűket és számokat tartalmaz).
  2. Az elsődleges csomóponttípushoz tartozó virtuális gépek minimális méretét a fürthöz választott tartóssági szint határozza meg. A tartóssági szint alapértelmezett értéke a bronz. A tartósságról további információt a Service Fabric-fürt tartósságának kiválasztásával kapcsolatban talál.
  3. Válassza ki a virtuális gép méretét. A D sorozatú virtuális gépek SSD-meghajtókkal rendelkeznek, és kifejezetten ajánlottak állapotalapú alkalmazásokhoz. Ne használjon olyan virtuálisgép-termékváltozatot, amely részleges magokkal rendelkezik, vagy kevesebb mint 10 GB rendelkezésre álló lemezkapacitással rendelkezik. A virtuális gép méretének kiválasztásával kapcsolatos segítségért tekintse meg a Service Fabric-fürt tervezési szempontjait tartalmazó dokumentumot.
  4. Az egycsomópontos fürt és a három csomópontfürt csak tesztelési célra szolgál. A futó éles számítási feladatokhoz nem támogatottak.
  5. Válassza ki a csomóponttípushoz tartozó kezdeti virtuálisgép-méretezési csoport kapacitását . A csomóponttípusokban lévő virtuális gépek számát később skálázhatja vagy kicsinyítheti, de az elsődleges csomóponttípuson az éles számítási feladatok esetében a minimum öt. Más csomóponttípusok legalább egy virtuális géppel rendelkezhetnek. Az elsődleges csomóponttípushoz tartozó virtuális gépek minimális száma határozza meg a fürt megbízhatóságát.
  6. Egyéni végpontok konfigurálása. Ez a mező lehetővé teszi, hogy vesszővel tagolt listát adjon meg azoknak a portoknak a vesszővel elválasztott listájáról, amelyeket az Azure Load Balanceren keresztül szeretne elérhetővé tenni az alkalmazások nyilvános interneten keresztül. Ha például webalkalmazást szeretne üzembe helyezni a fürtön, itt adja meg a "80" értéket, hogy engedélyezze a 80-as porton a fürtbe irányuló forgalmat. A végpontokkal kapcsolatos további információkért lásd az alkalmazásokkal való kommunikációt
  7. Fordított proxy engedélyezése. A Service Fabric fordított proxyja segít a Service Fabric-fürtben futó mikroszolgáltatásoknak felderíteni és kommunikálni más http-végpontokkal rendelkező szolgáltatásokkal.
  8. A Fürtkonfiguráció panel +Választható beállítások megjelenítése területén konfigurálja a fürtdiagnosztikát. Alapértelmezés szerint a diagnosztika engedélyezve van a fürtön a hibaelhárítási problémák megoldásához. Ha le szeretné tiltani a diagnosztikát, módosítsa az Állapot kapcsolót Ki állásra. A diagnosztika kikapcsolása nem ajánlott. Ha már létrehozta az Application Elemzések projektet, adja meg a kulcsát, hogy az alkalmazás nyomkövetései hozzá legyenek irányítva.
  9. Adja meg a DNS-szolgáltatást. A DNS-szolgáltatás opcionális szolgáltatás, amely lehetővé teszi, hogy más szolgáltatásokat keressen a DNS protokoll használatával.
  10. Válassza ki azt a Hálófrissítési módot , amelyhez a fürtöt be szeretné állítani. Válassza az Automatikus lehetőséget, ha azt szeretné, hogy a rendszer automatikusan vegye fel a legújabb elérhető verziót, és próbálja meg frissíteni a fürtöt. Ha támogatott verziót szeretne választani, állítsa a módot manuálisra. A Háló frissítési módjáról további információt a Service Fabric-fürt frissítési dokumentumában talál.

Megjegyzés:

Csak a Service Fabric támogatott verzióit futtató fürtöket támogatjuk. A Manuális mód kiválasztásával felelősséget vállal a fürt támogatott verzióra való frissítéséért.

3. Biztonság

Screenshot of security configurations on Azure portal.

A biztonságos tesztfürt beállításának megkönnyítése érdekében az Alapszintű lehetőséget biztosítottuk. Ha már rendelkezik tanúsítvánnyal, és feltöltötte a kulcstartóba (és engedélyezte a kulcstartó üzembe helyezését), akkor használja az Egyéni lehetőséget

Alapszintű beállítás

Kövesse a képernyőket egy meglévő kulcstartó hozzáadásához vagy újrafelhasználásához, valamint egy tanúsítvány hozzáadásához. A tanúsítvány hozzáadása szinkron folyamat, ezért meg kell várnia a tanúsítvány létrehozását.

Ellenállni a kísértésnek, hogy navigáljon a képernyőről, amíg az előző folyamat be nem fejeződik.

Screenshot shows the Security page with Basic selected with the Key vault pane and Create key vault pane.

A kulcstartó létrehozása után szerkessze a kulcstartó hozzáférési szabályzatait.

Screenshot shows the Create Service Fabric cluster pane with option 3 Security selected and an explanation that the key vault is not enabled.

Kattintson a Hozzáférési szabályzatok szerkesztése elemre, majd a Speciális hozzáférési szabályzatok megjelenítése parancsra, és engedélyezze az Azure-beli virtuális gépekhez való hozzáférést az üzembe helyezéshez. Javasoljuk, hogy a sablon üzembe helyezését is engedélyezze. Miután kiválasztotta a beállításokat, ne felejtse el a Mentés gombra kattintani, és zárja be az Access-szabályzatok panelt.

Screenshot shows the Create Service Fabric cluster pane with the Security pane open and the Access policies pane open.

Adja meg a tanúsítvány nevét, és kattintson az OK gombra.

Screenshot shows the Create Service Fabric cluster pane with Security selected as before but without the explanation that the key vault is not enabled.

Egyéni beállítás

Hagyja ki ezt a szakaszt, ha már végrehajtotta a lépéseket az Alapszintű beállításban.

Screenshot shows the Security Configure cluster security settings dialog box.

A biztonsági oldal befejezéséhez szüksége van a forráskulcstartóra, a tanúsítvány URL-címére és a tanúsítvány ujjlenyomatára. Ha nincs kéznél, nyisson meg egy másik böngészőablakot, és az Azure Portalon tegye a következőket

  1. Lépjen a Key Vault szolgáltatáshoz.

  2. Válassza a "Tulajdonságok" lapot, és másolja az "ERŐFORRÁS-azonosítót" a másik böngészőablak "Forráskulcs-tároló" elemére

    Screenshot shows the Properties window for the key vault.

  3. Most válassza a "Tanúsítványok" lapot.

  4. Kattintson a tanúsítvány ujjlenyomatára, amely a Verziók lapra viszi.

  5. Kattintson az aktuális verzió alatt látható GRAFIKUS GUID-kre.

    Screenshot shows the Certificate window for the key vault

  6. Most az alábbihoz hasonlóan a képernyőn kell lennie. Másolja a hexadecimális SHA-1 ujjlenyomatot a másik böngészőablak "Tanúsítvány ujjlenyomata" elemére

  7. Másolja a titkos azonosítót a másik böngészőablakban található "Tanúsítvány URL-címére".

    Screenshot shows the Certificate Version dialog box with an option to copy the Certificate Identifier.

A Speciális beállítások konfigurálása jelölőnégyzet bejelölésével adja meg a rendszergazdai ügyfél és az írásvédett ügyfél ügyféltanúsítványait. Ezekben a mezőkben adja meg a rendszergazdai ügyféltanúsítvány ujjlenyomatát és az írásvédett felhasználói ügyféltanúsítvány ujjlenyomatát, ha van ilyen. Amikor a rendszergazdák megpróbálnak csatlakozni a fürthöz, csak akkor kapnak hozzáférést, ha rendelkezik az itt megadott ujjlenyomatértékekkel egyező ujjlenyomattal rendelkező tanúsítvánnyal.

4. Összefoglalás

Most már készen áll a fürt üzembe helyezésére. Mielőtt ezt tenné, töltse le a tanúsítványt, és nézze meg a hivatkozás nagy kék információs mezőjét. Ügyeljen arra, hogy a tanúsítvány biztonságos helyen legyen. a fürthöz való csatlakozáshoz szüksége van rá. Mivel a letöltött tanúsítvány nem rendelkezik jelszóval, javasoljuk, hogy adjon hozzá egyet.

A fürt létrehozásának befejezéséhez kattintson a Létrehozás gombra. A sablont igény szerint letöltheti.

Screenshot shows the Create Service Fabric cluster Summary page with a link to view and download a certificate.

A létrehozás folyamatát az értesítésekben követheti nyomon. (Kattintson a képernyő jobb felső sarkában található állapotsor melletti "Harang" ikonra.) Ha a fürt létrehozásakor a Rögzítés gombra kattintott a startboardon, a Service Fabric-fürt üzembe helyezése a starttáblára rögzítve jelenik meg. Ez a folyamat eltarthat egy ideig.

Ahhoz, hogy felügyeleti műveleteket hajthasson végre a fürtön a PowerShell vagy a parancssori felület használatával, csatlakoznia kell a fürthöz. További információ a fürthöz való csatlakozásról.

A fürt állapotának megtekintése

Screenshot of cluster details in the dashboard.

A fürt létrehozása után a portálon ellenőrizheti a fürtöt:

  1. Nyissa meg a Tallózás elemet, és kattintson a Service Fabric-fürtök elemre.
  2. Keresse meg a fürtöt, és kattintson rá.
  3. A fürt részletei megjelennek az irányítópulton, beleértve a fürt nyilvános végpontját és egy, a Service Fabric Explorerre mutató hivatkozást.

A fürt irányítópult paneljének Csomópontfigyelő szakasza az kifogástalan és nem kifogástalan virtuális gépek számát jelzi. A fürt állapotával kapcsolatos további részleteket a Service Fabric állapotmodelljének bemutatásakor talál.

Megjegyzés:

A Service Fabric-fürtök bizonyos számú csomópontot igényelnek a rendelkezésre állás fenntartásához és az állapot megőrzéséhez – ezt nevezzük "kvórum fenntartásának". Ezért általában nem biztonságos a fürt összes gépének leállítása, kivéve, ha először végzett teljes biztonsági másolatot az állapotáról.

Távoli csatlakozás virtuálisgép-méretezési csoportpéldányhoz vagy fürtcsomóponthoz

A fürtben megadott csomóponttípusok mindegyike egy virtuálisgép-méretezési csoport beállítását eredményezi.

Következő lépések

Jelenleg egy biztonságos fürttel rendelkezik, amely tanúsítványokat használ a felügyeleti hitelesítéshez. Ezután csatlakozzon a fürthöz, és ismerje meg, hogyan kezelheti az alkalmazás titkos kulcsait. Emellett megismerheti a Service Fabric támogatási lehetőségeit is.