nasazení clusteru Service Fabric v centru Azure Stack

pomocí položky Service Fabric clusteru z Azure Marketplace nasaďte zabezpečený Service Fabric Cluster v Azure Stack Hub.

další informace o práci s Service Fabric najdete v tématu přehled scénářů zabezpečeníazure Service Fabric a Service Fabric v dokumentaci k azure.

cluster Service Fabric v centru Azure Stack nepoužívá poskytovatele prostředků Microsoft. ServiceFabric. místo toho je cluster Service Fabric ve službě Azure Stack Hub sada pro škálování virtuálních počítačů s předinstalovaným softwarem pomocí Desired State Configuration (DSC).

Požadavky

k nasazení Service Fabric clusteru se vyžadují tyto požadavky:

  1. Certifikát clusteru
    Jedná se o certifikát serveru X. 509, který přidáte do Key Vault při nasazování Service Fabric.

    • propojené sítě v tomto certifikátu se musí shodovat s plně kvalifikovaným názvem domény (FQDN) Service Fabricho clusteru, který vytvoříte.

    • Formát certifikátu musí být PFX, protože jsou vyžadovány veřejné i privátní klíče. Viz požadavky pro vytvoření tohoto certifikátu na straně serveru.

      Poznámka

      Pro účely testování můžete použít místo certifikátu serveru X. 509 podepsaného svým držitelem (samo-signed certificate). Certifikáty podepsané svým držitelem nemusí odpovídat plně kvalifikovanému názvu domény clusteru.

  2. Certifikát klienta správce
    jedná se o certifikát, který klient používá k ověření v clusteru Service Fabric, který může být podepsaný svým držitelem. Viz požadavky pro vytvoření certifikátu klienta.

  3. V tržišti centra Azure Stack musí být k dispozici následující položky:

    • Windows Server 2016 – šablona používá k vytvoření clusteru Windows Server 2016 image.
    • Rozšíření vlastních skriptů – rozšíření virtuálního počítače od Microsoftu
    • Konfigurace požadovaného stádia prostředí PowerShell – rozšíření virtuálního počítače od Microsoftu

Přidání tajného klíče do služby Key Vault

chcete-li nasadit cluster Service Fabric, je nutné zadat správný identifikátor Key Vault tajného klíče nebo adresu URL pro Service Fabric clusteru. Šablona Azure Resource Manager jako vstup převezme Key Vault. pak šablona načte certifikát clusteru při instalaci Service Fabricho clusteru.

Důležité

K přidání tajného klíče do Key Vault pro použití s Service Fabric je nutné použít PowerShell. Nepoužívejte portál.

Pomocí následujícího skriptu vytvořte Key Vault a přidejte do něj certifikát clusteru . (Viz požadavky.) Před spuštěním skriptu zkontrolujte vzorový skript a aktualizujte uvedené parametry tak, aby odpovídaly vašemu prostředí. Tento skript také vypíše hodnoty, které je třeba zadat do šablony Azure Resource Manager.

Tip

předtím, než může být skript úspěšný, musí existovat veřejná nabídka, která zahrnuje služby pro výpočetní prostředky, síť, Storage a Key Vault.

   function Get-ThumbprintFromPfx($PfxFilePath, $Password) 
      {
         return New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($PfxFilePath, $Password)
      }
   
   function Publish-SecretToKeyVault ($PfxFilePath, $Password, $KeyVaultName)
      {
         $keyVaultSecretName = "ClusterCertificate"
         $certContentInBytes = [io.file]::ReadAllBytes($PfxFilePath)
         $pfxAsBase64EncodedString = [System.Convert]::ToBase64String($certContentInBytes)
   
         $jsonObject = ConvertTo-Json -Depth 10 ([pscustomobject]@{
               data     = $pfxAsBase64EncodedString
               dataType = 'pfx'
               password = $Password
         })
   
         $jsonObjectBytes = [System.Text.Encoding]::UTF8.GetBytes($jsonObject)
         $jsonEncoded = [System.Convert]::ToBase64String($jsonObjectBytes)
         $secret = ConvertTo-SecureString -String $jsonEncoded -AsPlainText -Force
         $keyVaultSecret = Set-AzureKeyVaultSecret -VaultName $KeyVaultName -Name $keyVaultSecretName -SecretValue $secret
         
         $pfxCertObject = Get-ThumbprintFromPfx -PfxFilePath $PfxFilePath -Password $Password
   
         Write-Host "KeyVault id: " -ForegroundColor Green
         (Get-AzKeyVault -VaultName $KeyVaultName).ResourceId
         
         Write-Host "Secret Id: " -ForegroundColor Green
         (Get-AzureKeyVaultSecret -VaultName $KeyVaultName -Name $keyVaultSecretName).id
   
         Write-Host "Cluster Certificate Thumbprint: " -ForegroundColor Green
         $pfxCertObject.Thumbprint
      }
   
   #========================== CHANGE THESE VALUES ===============================
   $armEndpoint = "https://management.local.azurestack.external"
   $tenantId = "your_tenant_ID"
   $location = "local"
   $clusterCertPfxPath = "Your_path_to_ClusterCert.pfx"
   $clusterCertPfxPassword = "Your_password_for_ClusterCert.pfx"
   #==============================================================================
   
   Add-AzEnvironment -Name AzureStack -ARMEndpoint $armEndpoint
   Connect-AzAccount -Environment AzureStack -TenantId $tenantId
   
   $rgName = "sfvaultrg"
   Write-Host "Creating Resource Group..." -ForegroundColor Yellow
   New-AzResourceGroup -Name $rgName -Location $location
   
   Write-Host "Creating Key Vault..." -ForegroundColor Yellow
   $Vault = New-AzKeyVault -VaultName sfvault -ResourceGroupName $rgName -Location $location -EnabledForTemplateDeployment -EnabledForDeployment -EnabledForDiskEncryption
   
   Write-Host "Publishing certificate to Vault..." -ForegroundColor Yellow
   Publish-SecretToKeyVault -PfxFilePath $clusterCertPfxPath -Password $clusterCertPfxPassword -KeyVaultName $vault.VaultName

Další informace najdete v tématu správa Key Vault v centru Azure Stack pomocí PowerShellu.

Nasadit položku Marketplace

  1. na portálu user portal přejít na + vytvořit prostředekcomputeService Fabric Cluster.

    vybrat Cluster Service Fabric

  2. Pro každou stránku, například základy, vyplňte formulář nasazení. Pokud si nejste jisti hodnotou, použijte výchozí nastavení.

    pro nasazení do odpojeného centra Azure Stack nebo pro nasazení jiné verze Service Fabric si stáhněte balíček Service Fabric pro nasazení a jeho odpovídající balíček runtime a zahostte ho v Azure Stack objekt blob centra. zadejte tyto hodnoty do polí adresa url balíčku pro nasazení Service Fabric a adresa url balíčku za běhu Service Fabric .

    Poznámka

    existují problémy s kompatibilitou mezi nejnovějším vydáním Service Fabric a odpovídající sadou SDK. Dokud se tento problém nevyřeší, zadejte prosím následující parametry URL balíčku pro nasazení a adresu URL balíčku za běhu. V opačném případě se nasazení nezdaří.

    V případě odpojených nasazení stáhněte tyto balíčky ze zadaného umístění a hostovat je místně na Azure Stackovém objektu BLOB centra.

    Základy

  3. na stránce Nastavení sítě můžete zadat konkrétní porty, které se otevřou pro aplikace:

    Nastavení sítě

  4. Na stránce zabezpečení přidejte hodnoty, které jste získali z Vytvoření Azure Key Vault a odeslání tajného klíče.

    Pro kryptografický otisk certifikátu klienta správcezadejte kryptografický otisk certifikátu klienta správce. (Viz požadavky.)

    • Zdroj Key Vault: zadejte celý keyVault id řetězec z výsledků skriptu.
    • Adresa URL certifikátu clusteru: zadejte celou adresu URL z Secret Id z výsledků skriptu.
    • Kryptografický otisk certifikátu clusteru: Určete kryptografický otisk certifikátu clusteru z výsledků skriptu.
    • Adresa URL certifikátu serveru: Pokud chcete použít samostatný certifikát z certifikátu clusteru, nahrajte certifikát do trezoru klíčů a zadejte úplnou adresu URL tajného kódu.
    • Kryptografický otisk certifikátu serveru: zadejte kryptografický otisk pro certifikát serveru.
    • Kryptografické otisky klientského certifikátu pro správce: Určete kryptografický otisk certifikátu klienta pro správu , který je vytvořený v části požadavky.

    Výstup skriptu

    Zabezpečení

  5. dokončete průvodce a pak vyberte vytvořit a nasaďte Cluster Service Fabric.

přístup ke clusteru Service Fabric

ke clusteru Service Fabric můžete přistupovat pomocí Service Fabric Explorer nebo Service Fabric powershellu.

Použít Service Fabric Explorer

  1. zajistěte, aby prohlížeč měl přístup k vašemu klientskému certifikátu správce a mohl by se ověřit do vašeho clusteru Service Fabric.

    a. Otevřete Internet Explorer a přejít na certifikáty obsahu Možnosti Internetu.

    b. V části certifikáty vyberte importovat a spusťte Průvodce importem certifikátua potom klikněte na Další. Na stránce importovat soubor klikněte na Procházeta vyberte certifikát klienta správce , který jste zadali pro šablonu Azure Resource Manager.

    Poznámka

    Tento certifikát není certifikátem clusteru, který byl dříve přidán do Key Vault.

    c. ujistěte se, že jste v rozevíracím seznamu rozšíření okna průzkumník souborů vybrali možnost osobní informace Exchange.

    Personal Information Exchange

    d. Na stránce úložiště certifikátů vyberte osobnía pak dokončete průvodce.
    Úložiště certifikátů

  2. zjištění plně kvalifikovaného názvu domény Service Fabric clusteru:

    a. přejděte do skupiny prostředků, která je přidružená k vašemu Service Fabric clusteru, a vyhledejte prostředek veřejné IP adresy . Vyberte objekt přidružený k veřejné IP adrese a otevřete tak okno veřejné IP adresy .

    Veřejná IP adresa

    b. V okně veřejná IP adresa se plně kvalifikovaný název domény zobrazí jako název DNS.

    Název DNS

  3. pokud chcete najít adresu URL pro Service Fabric Explorer a koncový bod připojení klienta, projděte si výsledky Template deployment.

  4. V prohlížeči přejděte na https://*FQDN*:19080. v kroku 2 nahraďte plně kvalifikovaný název domény plně kvalifikovaným názvem domény vašeho clusteru Service Fabric.
    Pokud jste použili certifikát podepsaný svým držitelem, zobrazí se upozornění, že připojení není zabezpečené. Chcete-li pokračovat na web, vyberte Další informacea potom přejděte na webovou stránku.

  5. Chcete-li provést ověření v lokalitě, je nutné vybrat certifikát, který chcete použít. Vyberte Další možnosti, vyberte příslušný certifikát a potom se kliknutím na tlačítko OK připojte k Service Fabric Explorer.

    Ověření

použití prostředí Service Fabric PowerShell

  1. nainstalujte sadu Microsoft Azure Service Fabric SDK z části příprava vývojového prostředí na Windows v dokumentaci ke službě Azure Service Fabric.

  2. po dokončení instalace nakonfigurujte proměnné prostředí systému, aby se zajistilo, že jsou rutiny Service Fabric dostupné z powershellu.

    a. Otevřete Ovládací panelysystém a zabezpečenía pak vyberte Upřesnit nastavení systému.

    Ovládací panely

    b. Na kartě Upřesnit v okně Vlastnosti systémuvyberte proměnné prostředí.

    c. v části systémové proměnnéupravte cestu a ujistěte se, že je C:\Program Files\Microsoft Service Fabric \bin\Fabric\Fabric.Code v horní části seznamu proměnných prostředí.

    Seznam proměnných prostředí

  3. po změně pořadí proměnných prostředí restartujte PowerShell a potom spuštěním následujícího skriptu powershellu získejte přístup ke clusteru Service Fabric:

     Connect-ServiceFabricCluster -ConnectionEndpoint "\[Service Fabric
     CLUSTER FQDN\]:19000" \`
    
     -X509Credential -ServerCertThumbprint
     761A0D17B030723A37AA2E08225CD7EA8BE9F86A \`
    
     -FindType FindByThumbprint -FindValue
     0272251171BA32CEC7938A65B8A6A553AA2D3283 \`
    
     -StoreLocation CurrentUser -StoreName My -Verbose
    

    Poznámka

    Před názvem clusteru ve skriptu není žádný https:// . Je vyžadován port 19000.

Další kroky

Nasazení Kubernetes do centra Azure Stack