Tanúsítványok hozzáadása és törlése Service Fabric-fürtön az Azure-ban
Javasoljuk, hogy ismerje meg, hogyan használja a Service Fabric az X.509-tanúsítványokat, és ismerje meg a fürt biztonsági forgatókönyveit. A továbblépés előtt tisztában kell lennie a fürttanúsítványokkal és a használtokkal.
Az Azure Service Fabrics SDK alapértelmezett tanúsítványbetöltési viselkedése a definiált tanúsítvány üzembe helyezése és használata a jövőbeni lejárati dátummal; az elsődleges vagy másodlagos konfigurációs definíciótól függetlenül. A klasszikus viselkedésre való visszalépés nem ajánlott speciális művelet, és a "UseSecondaryIfNewer" beállítás paraméter értékét hamis értékre kell állítani a konfigurációban Fabric.Code .
A Service Fabric lehetővé teszi, hogy az ügyféltanúsítványok mellett két fürttanúsítványt, egy elsődleges és egy másodlagos tanúsítványt adjon meg, amikor a tanúsítványbiztonságot a fürt létrehozásakor konfigurálja. A létrehozáskor történő beállítással kapcsolatos részletekért tekintse meg az Azure-fürtök portálon keresztüli létrehozását vagy azure-fürt azure-fürt létrehozását az Azure Resource Manageren keresztül. Ha létrehozáskor csak egy fürttanúsítványt ad meg, akkor az lesz az elsődleges tanúsítvány. A fürt létrehozása után hozzáadhat egy új tanúsítványt másodlagosként.
Feljegyzés
Egy biztonságos fürt esetében mindig legalább egy érvényes (nem visszavont és nem lejárt) fürttanúsítványra lesz szüksége (elsődleges vagy másodlagos) üzembe helyezve (ha nem, akkor a fürt működése leáll). 90 nappal az összes érvényes tanúsítvány lejárata előtt a rendszer figyelmeztető nyomkövetést és figyelmeztető állapoteseményt hoz létre a csomóponton. Jelenleg ezek az egyetlen értesítések, amelyeket a Service Fabric küld a tanúsítvány lejáratával kapcsolatban.
Feljegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Első lépésként tekintse meg az Azure PowerShell telepítését ismertető témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Másodlagos fürttanúsítvány hozzáadása a portál használatával
Másodlagos fürttanúsítvány nem adható hozzá az Azure Portalon; használja az Azure Resource Managert.
Fürttanúsítvány eltávolítása a portál használatával
Egy biztonságos fürthöz mindig szüksége lesz legalább egy érvényes (nem visszavont és nem lejárt) tanúsítványra. A lehető legtávolabbi lejárati dátummal üzembe helyezett tanúsítvány használatban lesz, és az eltávolítása leállítja a fürt működését; győződjön meg arról, hogy csak a lejárt tanúsítványt vagy a hamarosan lejáró, nem használt tanúsítványt távolítja el.
Ha el szeretne távolítani egy nem használt fürtbiztonsági tanúsítványt, lépjen a Biztonság szakaszra, és válassza a "Törlés" lehetőséget a nem használt tanúsítvány helyi menüjében.
Ha a szándéka az elsődlegesként megjelölt tanúsítvány eltávolítása, akkor egy másodlagos tanúsítványt kell üzembe helyeznie az elsődleges tanúsítványnál későbbi lejárati dátummal, ami lehetővé teszi az automatikus visszaállítási viselkedést; az automatikus visszaállítás befejezése után törölje az elsődleges tanúsítványt.
Másodlagos tanúsítvány hozzáadása az Azure Resource Managerrel
Ezek a lépések feltételezik, hogy ismeri a Resource Manager működését, és legalább egy Service Fabric-fürtöt üzembe helyezett Egy Resource Manager-sablon használatával, és hasznosnak találja a fürt beállításához használt sablont. Azt is feltételezzük, hogy kényelmesen használja a JSON-t.
Feljegyzés
Ha olyan mintasablont és paramétereket keres, amelyeket követve vagy kiindulási pontként használhat, töltse le erről a git-adattárból.
A Resource Manager-sablon szerkesztése
A könnyebb követés érdekében a minta 5-VM-1-NodeTypes-Secure_Step2.JSON tartalmazza az összes módosítást, amit végre fogunk tenni. a minta a git-adattárban érhető el.
Mindenképpen kövesse az összes lépést
Nyissa meg a fürt üzembe helyezéséhez használt Resource Manager-sablont. (Ha letöltötte a mintát az előző adattárból, akkor a 5-VM-1-NodeTypes-Secure_Step1.JSON használatával helyezzen üzembe egy biztonságos fürtöt, majd nyissa meg a sablont).
Adjon hozzá két új paramétert a "secCertificateThumbprint" és a "secCertificateUrlValue" típusú "secCertificateUrlValue" paraméterhez a sablon paraméterszakaszához. A következő kódrészletet átmásolhatja és hozzáadhatja a sablonhoz. A sablon forrásától függően előfordulhat, hogy ezeket már definiálta, ha igen, lépjen a következő lépésre.
"secCertificateThumbprint": { "type": "string", "metadata": { "description": "Certificate Thumbprint" } }, "secCertificateUrlValue": { "type": "string", "metadata": { "description": "Refers to the location URL in your key vault where the certificate was uploaded, it is should be in the format of https://<name of the vault>.vault.azure.net:443/secrets/<exact location>" } },Módosítsa a Microsoft.ServiceFabric/clusters erőforrást – Keresse meg a "Microsoft.ServiceFabric/clusters" erőforrásdefiníciót a sablonban. A definíció tulajdonságai között megtalálja a "Tanúsítvány" JSON-címkét, amelynek az alábbi JSON-kódrészlethez hasonlóan kell kinéznie:
"properties": { "certificate": { "thumbprint": "[parameters('certificateThumbprint')]", "x509StoreName": "[parameters('certificateStoreValue')]" }Adjon hozzá egy új "thumbprintSecondary" címkét, és adjon neki egy "[parameters('secCertificateThumbprint')]" értéket.
Így most az erőforrásdefiníciónak a következőnek kell kinéznie (a sablon forrásától függően előfordulhat, hogy nem pontosan olyan, mint az alábbi kódrészlet).
"properties": { "certificate": { "thumbprint": "[parameters('certificateThumbprint')]", "thumbprintSecondary": "[parameters('secCertificateThumbprint')]", "x509StoreName": "[parameters('certificateStoreValue')]" }Ha át szeretné állítani a tanúsítványt, adja meg az új tanúsítványt elsődlegesként, és az aktuális elsődlegest másodlagosként helyezi át. Ez azt eredményezi, hogy az aktuális elsődleges tanúsítvány egy üzembe helyezési lépésben át lesz helyezve az új tanúsítványra.
"properties": { "certificate": { "thumbprint": "[parameters('secCertificateThumbprint')]", "thumbprintSecondary": "[parameters('certificateThumbprint')]", "x509StoreName": "[parameters('certificateStoreValue')]" }Módosítsa az összes Microsoft.Compute/virtualMachineScaleSets erőforrásdefiníciót – Keresse meg a Microsoft.Compute/virtualMachineScaleSets erőforrásdefiníciót. Görgessen a "közzétevőhöz": "Microsoft.Azure.ServiceFabric", a "virtualMachineProfile" alatt.
A Service Fabric közzétevői beállításaiban ehhez hasonlót kell látnia.
Új tanúsítványbejegyzések hozzáadása hozzá
"certificateSecondary": { "thumbprint": "[parameters('secCertificateThumbprint')]", "x509StoreName": "[parameters('certificateStoreValue')]" } },A tulajdonságoknak így kell kinéznie
Ha át szeretné állítani a tanúsítványt, adja meg az új tanúsítványt elsődlegesként, és az aktuális elsődlegest másodlagosként helyezi át. Ez azt eredményezi, hogy az aktuális tanúsítvány egy üzembe helyezési lépésben át lesz helyezve az új tanúsítványra.
"certificate": { "thumbprint": "[parameters('secCertificateThumbprint')]", "x509StoreName": "[parameters('certificateStoreValue')]" }, "certificateSecondary": { "thumbprint": "[parameters('certificateThumbprint')]", "x509StoreName": "[parameters('certificateStoreValue')]" } },A tulajdonságoknak így kell kinéznie
Módosítsa az összes Microsoft.Compute/virtualMachineScaleSets erőforrásdefiníciót – Keresse meg a Microsoft.Compute/virtualMachineScaleSets erőforrásdefiníciót. Görgessen a "vaultCertificates" kifejezéshez, az "OSProfile" alatt. valahogy így kell kinéznie.
Adja hozzá a secCertificateUrlValue értéket. használja a következő kódrészletet:
{ "certificateStore": "[parameters('certificateStoreValue')]", "certificateUrl": "[parameters('secCertificateUrlValue')]" }Az eredményként kapott Jsonnak így kell kinéznie.
Feljegyzés
Győződjön meg arról, hogy a sablon összes Nodetypes/Microsoft.Compute/virtualMachineScaleSets erőforrásdefiníciójához ismétlődő 4. és 5. lépést adott meg. Ha valamelyiket kihagyja, a tanúsítvány nem lesz telepítve a virtuálisgép-méretezési csoportra, és kiszámíthatatlan eredményeket fog kapni a fürtben, beleértve a fürt leállását is (ha nem rendelkezik érvényes tanúsítványokkal, amelyeket a fürt használhat a biztonság érdekében. Tehát dupla ellenőrzés, mielőtt továbbhalad.
A sablonfájl szerkesztése a fent hozzáadott új paramétereknek megfelelően
Ha a git-adattárból származó mintát használja a nyomon követéshez, megkezdheti a módosításokat a Minta 5-VM-1-NodeTypes-Secure.parameters_Step2.JSON
Szerkessze a Resource Manager-sablon paraméterfájlját, adja hozzá a secCertificateThumbprint és a secCertificateUrlValue paraméter két új paraméterét.
"secCertificateThumbprint": {
"value": "thumbprint value"
},
"secCertificateUrlValue": {
"value": "Refers to the location URL in your key vault where the certificate was uploaded, it is should be in the format of https://<name of the vault>.vault.azure.net:443/secrets/<exact location>"
},
A sablon üzembe helyezése az Azure-ban
- Most már készen áll a sablon Azure-ban való üzembe helyezésére. Nyisson meg egy Azure PowerShell 1+ verziójú parancssort.
- Jelentkezzen be az Azure-fiókjába, és válassza ki az adott Azure-előfizetést. Ez egy fontos lépés azon emberek számára, akik több Azure-előfizetéshez is hozzáférnek.
Connect-AzAccount
Select-AzSubscription -SubscriptionId <Subscription ID>
A sablon üzembe helyezése előtt tesztelje a sablont. Használja ugyanazt az erőforráscsoportot, amelyre a fürt jelenleg telepítve van.
Test-AzResourceGroupDeployment -ResourceGroupName <Resource Group that your cluster is currently deployed to> -TemplateFile <PathToTemplate>
Helyezze üzembe a sablont az erőforráscsoportban. Használja ugyanazt az erőforráscsoportot, amelyre a fürt jelenleg telepítve van. Futtassa a New-AzResourceGroupDeployment parancsot. Nem kell megadnia a módot, mivel az alapértelmezett érték növekményes.
Feljegyzés
Ha befejezett módra állítja a módot, véletlenül törölheti a sablonban nem szereplő erőforrásokat. Ezért ne használja ebben a forgatókönyvben.
New-AzResourceGroupDeployment -Name ExampleDeployment -ResourceGroupName <Resource Group that your cluster is currently deployed to> -TemplateFile <PathToTemplate>
Íme egy kitöltött példa ugyanarra a PowerShellre.
$ResourceGroup2 = "chackosecure5"
$TemplateFile = "C:\GitHub\Service-Fabric\ARM Templates\Cert Rollover Sample\5-VM-1-NodeTypes-Secure_Step2.json"
$TemplateParmFile = "C:\GitHub\Service-Fabric\ARM Templates\Cert Rollover Sample\5-VM-1-NodeTypes-Secure.parameters_Step2.json"
New-AzResourceGroupDeployment -ResourceGroupName $ResourceGroup2 -TemplateParameterFile $TemplateParmFile -TemplateUri $TemplateFile -clusterName $ResourceGroup2
Miután az üzembe helyezés befejeződött, csatlakozzon a fürthöz az új tanúsítvány használatával, és végezzen el néhány lekérdezést. Ha meg tudja csinálni. Ezután törölheti a régi tanúsítványt.
Ha önaláírt tanúsítványt használ, ne felejtse el importálni őket a helyi megbízható Kapcsolatok tanúsítványtárolóba.
######## Set up the certs on your local box
Import-PfxCertificate -Exportable -CertStoreLocation Cert:\CurrentUser\TrustedPeople -FilePath c:\Mycertificates\chackdanTestCertificate9.pfx -Password (ConvertTo-SecureString -String abcd123 -AsPlainText -Force)
Import-PfxCertificate -Exportable -CertStoreLocation Cert:\CurrentUser\My -FilePath c:\Mycertificates\chackdanTestCertificate9.pfx -Password (ConvertTo-SecureString -String abcd123 -AsPlainText -Force)
Rövid útmutató: a biztonságos fürthöz való csatlakozás parancsa
$ClusterName= "chackosecure5.westus.cloudapp.azure.com:19000"
$CertThumbprint= "70EF5E22ADB649799DA3C8B6A6BF7SD1D630F8F3"
Connect-serviceFabricCluster -ConnectionEndpoint $ClusterName -KeepAliveIntervalInSec 10 `
-X509Credential `
-ServerCertThumbprint $CertThumbprint `
-FindType FindByThumbprint `
-FindValue $CertThumbprint `
-StoreLocation CurrentUser `
-StoreName My
Rövid útmutató a fürt állapotának lekéréséhez
Get-ServiceFabricClusterHealth
Ügyféltanúsítványok üzembe helyezése a fürtön.
Az előző 5. lépésben ismertetett lépéseket követve a tanúsítványokat egy kulcstartóból a csomópontokra helyezheti üzembe. Csak különböző paramétereket kell definiálnia és használnia.
Ügyféltanúsítványok hozzáadása vagy eltávolítása
A fürttanúsítványok mellett ügyféltanúsítványokat is hozzáadhat a Service Fabric-fürtök felügyeleti műveleteinek elvégzéséhez.
Kétféle ügyféltanúsítványt adhat hozzá – Rendszergazda vagy írásvédett. Ezekkel szabályozható a fürt rendszergazdai műveleteihez és lekérdezési műveleteihez való hozzáférés. Alapértelmezés szerint a fürttanúsítványok hozzáadódnak az engedélyezett Rendszergazda tanúsítványok listájához.
Tetszőleges számú ügyféltanúsítványt megadhat. Minden egyes hozzáadás/törlés konfigurációfrissítést eredményez a Service Fabric-fürtben.
Ügyféltanúsítványok hozzáadása – Rendszergazda vagy írásvédett portálon keresztül
- Lépjen a Biztonság szakaszra, és válassza a "+ Hitelesítés" gombot a biztonsági szakasz tetején.
- A "Hitelesítés hozzáadása" szakaszban válassza a "Hitelesítés típusa" – "Írásvédett ügyfél" vagy "Rendszergazda ügyfél" lehetőséget.
- Most válassza ki az Engedélyezési módszert. Ez azt jelzi a Service Fabricnek, hogy a tulajdonos nevével vagy ujjlenyomatával kell-e megkeresnie ezt a tanúsítványt. Általában nem ajánlott a tulajdonosnév engedélyezési módszerének használata.
Ügyféltanúsítványok törlése – Rendszergazda vagy írásvédett a portál használatával
Ha el szeretne távolítani egy másodlagos tanúsítványt a fürtbiztonsághoz, lépjen a Biztonság szakaszra, és válassza a "Törlés" lehetőséget az adott tanúsítvány helyi menüjében.
Alkalmazástanúsítványok hozzáadása virtuálisgép-méretezési csoporthoz
Az alkalmazásokhoz használt tanúsítvány fürtben való üzembe helyezéséhez tekintse meg ezt a PowerShell-példaszkriptet.
Következő lépések
A fürtkezeléssel kapcsolatos további információkért olvassa el ezeket a cikkeket: