A Service Fabric által felügyelt fürtök hálózati beállításainak konfigurálása
A Service Fabric által felügyelt fürtök alapértelmezett hálózati konfigurációval jönnek létre. Ez a konfiguráció egy nyilvános IP-címmel rendelkező Azure Load Balancer, egy lefoglalt alhálózattal rendelkező virtuális hálózatból és egy alapvető fürtfunkcióhoz konfigurált NSG-ből áll. Vannak opcionális NSG-szabályok is, például az összes kimenő forgalom engedélyezése alapértelmezés szerint, amely az ügyfél konfigurációjának megkönnyítését szolgálja. Ez a dokumentum bemutatja, hogyan módosíthatja a következő hálózati konfigurációs beállításokat és egyebeket:
- NSG-szabályok kezelése
- RDP-hozzáférés kezelése
- Load Balancer konfigurációjának kezelése
- Nyilvános IP-cím engedélyezése
- IPv6 engedélyezése
- Saját virtuális hálózat használata
- Saját terheléselosztó használata
- Gyorsított hálózatkezelés engedélyezése
- Kiegészítő alhálózatok konfigurálása
NSG-szabályok kezelése
Útmutató az NSG-szabályokhoz
Vegye figyelembe ezeket a szempontokat, amikor új NSG-szabályokat hoz létre a felügyelt fürthöz.
- A Service Fabric által felügyelt fürtök az alapvető funkciók érdekében fenntartják a 0 és 999 közötti NSG-szabály prioritási tartományát. 1000-nél kisebb prioritású egyéni NSG-szabályok nem hozhatók létre.
- A Service Fabric által felügyelt fürtök fenntartják a 3001 és 4000 közötti prioritási tartományt az opcionális NSG-szabályok létrehozásához. Ezeket a szabályokat a rendszer automatikusan hozzáadja a konfigurációk gyors és egyszerűvé tétele érdekében. Ezeket a szabályokat felülbírálhatja egyéni NSG-szabályok hozzáadásával a 1000 és 3000 közötti prioritási tartományban.
- Az egyéni NSG-szabályoknak 1000 és 3000 közötti prioritással kell rendelkezniük.
NSG-szabályok alkalmazása
A Service Fabric által felügyelt fürtök lehetővé teszik NSG-szabályok közvetlen hozzárendelését az üzembehelyezési sablon fürterőforrásában.
NSG-szabályok hozzárendeléséhez használja a Microsoft.ServiceFabric/managedclusters erőforrás networkSecurityRules tulajdonságát (verzió 2021-05-01
vagy újabb). Például:
{
"apiVersion": "2021-05-01",
"type": "Microsoft.ServiceFabric/managedclusters",
"properties": {
"networkSecurityRules": [
{
"name": "AllowCustomers",
"protocol": "*",
"sourcePortRange": "*",
"sourceAddressPrefix": "Internet",
"destinationAddressPrefix": "*",
"destinationPortRange": "33000-33499",
"access": "Allow",
"priority": 2001,
"direction": "Inbound"
},
{
"name": "AllowARM",
"protocol": "*",
"sourcePortRange": "*",
"sourceAddressPrefix": "AzureResourceManager",
"destinationAddressPrefix": "*",
"destinationPortRange": "33500-33699",
"access": "Allow",
"priority": 2002,
"direction": "Inbound"
},
{
"name": "DenyCustomers",
"protocol": "*",
"sourcePortRange": "*",
"sourceAddressPrefix": "Internet",
"destinationAddressPrefix": "*",
"destinationPortRange": "33700-33799",
"access": "Deny",
"priority": 2003,
"direction": "Outbound"
},
{
"name": "DenyRDP",
"protocol": "*",
"sourcePortRange": "*",
"sourceAddressPrefix": "*",
"destinationAddressPrefix": "VirtualNetwork",
"destinationPortRange": "3389",
"access": "Deny",
"priority": 2004,
"direction": "Inbound",
"description": "Override for optional SFMC_AllowRdpPort rule. This is required in tests to avoid Sev2 incident for security policy violation."
}
],
"fabricSettings": [
"..."
]
}
}
ClientConnection és HttpGatewayConnection alapértelmezett és választható szabályok
NSG-szabály: SFMC_AllowServiceFabricGatewayToSFRP
A rendszer hozzáad egy alapértelmezett NSG-szabályt, amely lehetővé teszi a Service Fabric erőforrás-szolgáltató számára a fürt clientConnectionPort és httpGatewayConnectionPort hozzáférését. Ez a szabály a "ServiceFabric" szolgáltatáscímkén keresztül engedélyezi a portok elérését.
Megjegyzés
Ez a szabály mindig hozzáadódik, és nem bírálható felül.
{
"name": "SFMC_AllowServiceFabricGatewayToSFRP",
"type": "Microsoft.Network/networkSecurityGroups/securityRules",
"properties": {
"description": "This is required rule to allow SFRP to connect to the cluster. This rule can't be overridden.",
"protocol": "TCP",
"sourcePortRange": "*",
"sourceAddressPrefix": "ServiceFabric",
"destinationAddressPrefix": "VirtualNetwork",
"access": "Allow",
"priority": 500,
"direction": "Inbound",
"sourcePortRanges": [],
"destinationPortRanges": [
"19000",
"19080"
]
}
}
NSG-szabály: SFMC_AllowServiceFabricGatewayPorts
Ez az opcionális szabály lehetővé teszi az ügyfelek számára az SFX elérését, a fürthöz való csatlakozást a PowerShell használatával, valamint a Service Fabric-fürt API-végpontjait az internetről a clientConnectionPort és a httpGatewayPort LB-portjainak megnyitásával.
Megjegyzés
Ez a szabály nem lesz hozzáadva, ha egy egyéni szabály ugyanazzal a hozzáféréssel, iránysal és protokollértékekkel rendelkezik ugyanahhoz a porthoz. Ezt a szabályt egyéni NSG-szabályokkal felülbírálhatja.
{
"name": "SFMC_AllowServiceFabricGatewayPorts",
"type": "Microsoft.Network/networkSecurityGroups/securityRules",
"properties": {
"description": "Optional rule to open SF cluster gateway ports. To override add a custom NSG rule for gateway ports in priority range 1000-3000.",
"protocol": "tcp",
"sourcePortRange": "*",
"sourceAddressPrefix": "*",
"destinationAddressPrefix": "VirtualNetwork",
"access": "Allow",
"priority": 3001,
"direction": "Inbound",
"sourcePortRanges": [],
"destinationPortRanges": [
"19000",
"19080"
]
}
}
RDP-portokhoz való hozzáférés engedélyezése az internetről
A Service Fabric által felügyelt fürtök alapértelmezés szerint nem engedélyezik az RDP-portokhoz való bejövő hozzáférést az internetről. A service Fabric által felügyelt fürterőforrás következő tulajdonságának beállításával megnyithatja az RDP-portokhoz való bejövő hozzáférést az internetről.
"allowRDPAccess": true
Ha az allowRDPAccess tulajdonság értéke true (igaz), a következő NSG-szabály lesz hozzáadva a fürt üzembe helyezéséhez.
{
"name": "SFMC_AllowRdpPort",
"type": "Microsoft.Network/networkSecurityGroups/securityRules",
"properties": {
"description": "Optional rule to open RDP ports.",
"protocol": "tcp",
"sourcePortRange": "*",
"sourceAddressPrefix": "*",
"destinationAddressPrefix": "VirtualNetwork",
"access": "Allow",
"priority": 3002,
"direction": "Inbound",
"sourcePortRanges": [],
"destinationPortRange": "3389"
}
}
A Service Fabric által felügyelt fürtök automatikusan létrehoznak bejövő NAT-szabályokat egy csomóponttípus minden példányához. Az egyes példányok (fürtcsomópontok) eléréséhez szükséges portleképezések megkereséséhez kövesse az alábbi lépéseket:
A Azure Portal használatával keresse meg a távoli asztali protokollhoz (RDP) létrehozott bejövő NAT-szabályokat.
Keresse meg a felügyelt fürt erőforráscsoportját az előfizetésben a következő formátumban: SFC_{cluster-id}
Válassza ki a fürt terheléselosztóját a következő formátumban: LB-{cluster-name}
A terheléselosztó oldalán válassza a Bejövő NAT-szabályok lehetőséget. Tekintse át a bejövő NAT-szabályokat, és győződjön meg arról, hogy a bejövő előtérbeli port egy csomópont portleképezésére irányul.
Az alábbi képernyőképen három különböző csomóponttípus bejövő NAT-szabályai láthatók:
Alapértelmezés szerint a Windows-fürtök esetében az előtérbeli port az 50000-ben és a magasabb tartományban van, a célport pedig a 3389-s port, amely leképezi a célcsomópont RDP szolgáltatását.
Megjegyzés
Ha a BYOLB szolgáltatást használja, és RDP-t szeretne, ehhez külön konfigurálnia kell egy NAT-készletet. Ez nem hoz létre automatikusan NAT-szabályokat ezekhez a csomóponttípusokhoz.
Távoli csatlakozás az adott csomóponthoz (méretezési csoport példánya). Használhatja a fürt létrehozásakor beállított felhasználónevet és jelszót, illetve a konfigurált egyéb hitelesítő adatokat.
Az alábbi képernyőképen a Távoli asztali kapcsolat használata a Windows-fürtön lévő alkalmazások (0. példány) csomóponthoz való csatlakozáshoz:
Az alapértelmezett terheléselosztó konfigurációjának módosítása
Terheléselosztó portok
A Service Fabric által felügyelt fürtök létrehoznak egy NSG-szabályt az alapértelmezett prioritási tartományban a ManagedCluster tulajdonságok alatt a "loadBalancingRules" szakaszban konfigurált terheléselosztó (LB) portokhoz. Ez a szabály LB-portokat nyit meg az internetről bejövő forgalomhoz.
Megjegyzés
Ez a szabály a választható prioritási tartományba kerül, és egyéni NSG-szabályok hozzáadásával felül bírálható.
{
"name": "SFMC_AllowLoadBalancedPorts",
"type": "Microsoft.Network/networkSecurityGroups/securityRules",
"properties": {
"description": "Optional rule to open LB ports",
"protocol": "*",
"sourcePortRange": "*",
"sourceAddressPrefix": "*",
"destinationAddressPrefix": "VirtualNetwork",
"access": "Allow",
"priority": 3003,
"direction": "Inbound",
"sourcePortRanges": [],
"destinationPortRanges": [
"80", "8080", "4343"
]
}
}
Terheléselosztó mintavételei
A Service Fabric által felügyelt fürtök automatikusan létrehoznak terheléselosztó-mintavételeket a hálóátjáró portjaihoz és a loadBalancingRules
felügyelt fürttulajdonságok szakaszában konfigurált összes porthoz.
{
"value": [
{
"name": "FabricTcpGateway",
"properties": {
"provisioningState": "Succeeded",
"protocol": "Tcp",
"port": 19000,
"intervalInSeconds": 5,
"numberOfProbes": 2,
"loadBalancingRules": [
{
"id": "<>"
}
]
},
"type": "Microsoft.Network/loadBalancers/probes"
},
{
"name": "FabricHttpGateway",
"properties": {
"provisioningState": "Succeeded",
"protocol": "Tcp",
"port": 19080,
"intervalInSeconds": 5,
"numberOfProbes": 2,
"loadBalancingRules": [
{
"id": "<>"
}
]
},
"type": "Microsoft.Network/loadBalancers/probes"
},
{
"name": "probe1_tcp_8080",
"properties": {
"provisioningState": "Succeeded",
"protocol": "Tcp",
"port": 8080,
"intervalInSeconds": 5,
"numberOfProbes": 2,
"loadBalancingRules": [
{
"id": "<>"
}
]
},
"type": "Microsoft.Network/loadBalancers/probes"
}
]
}
Nyilvános IP-cím engedélyezése
Megjegyzés
Jelenleg csak a nyilvános IPv4 támogatott.
A Service Fabric által felügyelt fürtcsomópontoknak nincs szükségük saját nyilvános IP-címükre a kommunikációhoz. Bizonyos esetekben azonban előfordulhat, hogy a csomópontnak saját nyilvános IP-címmel kell rendelkeznie az internettel és a nyilvános Azure-szolgáltatásokkal való kommunikációhoz. Például:
- Játék, ahol a konzolnak közvetlen kapcsolatot kell létesítenie egy olyan felhőalapú virtuális géppel, amely játékfizikai feldolgozást végez.
- Virtuális gépek, amelyeknek külső kapcsolatokat kell létesítenie egy elosztott adatbázis régiói között.
További információt a kimenő kapcsolatokat ismertető cikkben talál az Azure kimenő kapcsolatairól.
A nyilvános IP-cím csak másodlagos csomóponttípusokon engedélyezhető, mert az elsődleges csomóponttípusok a Service Fabric rendszerszolgáltatásai számára vannak fenntartva. A cikk Saját terheléselosztó használata szakaszában található lépéseket követve hozzon létre egy másodlagos csomóponttípust a felügyelt fürthöz.
Az Azure dinamikusan rendeli hozzá az elérhető IP-címeket.
Megjegyzés
A nyilvános IP-cím engedélyezése csak ARM-sablonon keresztül támogatott.
Az alábbi lépések a nyilvános IP-cím engedélyezését írják le a csomóponton.
Töltse le az ARM-sablont.
A sablon minden csomóponttípusához adja hozzá
enableNodePublicIP
az ARM-sablont:{ "name": "<secondary_node_type_name>", "apiVersion": "2023-02-01-preview", "properties": { "isPrimary" : false, "vmImageResourceId": "/subscriptions/<your_subscription_id>/resourceGroups/<your_resource_group>/providers/Microsoft.Compute/images/<your_custom_image>", "vmSize": "Standard_D2", "vmInstanceCount": 5, "dataDiskSizeGB": 100, "enableNodePublicIP": true } }
A következő PowerShell-parancs futtatásával ellenőrizze, hogy rendelkezik-e nyilvános IP-címekkel a csomópontokon:
az vmss list-instance-public-ips -g MC_MyResourceGroup2_MyManagedCluster_eastus -n YourVirtualMachineScaleSetName
A parancs kimenetei JSON formátumban.
[ { "etag": "etag_0", "id": "<id_0/name>", "idleTimeoutInMinutes": 15, "ipAddress": "<ip_address_0>", "ipConfiguration": { "id": "<configuration_id_0>", "resourceGroup": "<your_resource_group>" }, "ipTags": [], "name": "<name>", "provisioningState": "Succeeded", "publicIPAddressVersion": "IPv4", "publicIPAllocationMethod": "Static", "resourceGroup": "<your_resource_group>", "resourceGuid": "resource_guid_0", "sku": { "name": "Standard" } }, { "etag": "etag_1", "id": "/<id_1/name>", "idleTimeoutInMinutes": 15, "ipAddress": "<ip_address_1>", "ipConfiguration": { "id": "<configuration_id_1>", "resourceGroup": "<your_resource_group>" }, "ipTags": [], "name": "<name>", "provisioningState": "Succeeded", "publicIPAddressVersion": "IPv4", "publicIPAllocationMethod": "Static", "resourceGroup": "<your_resource_group>", "resourceGuid": "resource_guid_1", "sku": { "name": "Standard" } }, { "etag": "etag_2", "id": "<id_2/name>", "idleTimeoutInMinutes": 15, "ipAddress": "<ip_address_2>", "ipConfiguration": { "id": "<configuration_id_2>", "resourceGroup": "<your_resource_group>" }, "ipTags": [], "name": "<name>", "provisioningState": "Succeeded", "publicIPAddressVersion": "IPv4", "publicIPAllocationMethod": "Static", "resourceGroup": "<your_resource_group>", "resourceGuid": "resource_guid_2", "sku": { "name": "Standard" } } ]
IPv6 engedélyezése
A felügyelt fürtök alapértelmezés szerint nem engedélyezik az IPv6-ot. Ez a funkció lehetővé teszi a teljes kettős verem IPv4/IPv6 képességét a Load Balancer előtértől a háttérerőforrásokig. A felügyelt fürt terheléselosztójának konfigurációjában vagy az NSG-szabályokban végzett módosítások hatással lesznek az IPv4- és az IPv6-útválasztásra is.
Megjegyzés
Ez a beállítás nem érhető el a portálon, és a fürt létrehozása után nem módosítható.
- A Service Fabric által felügyelt fürt erőforrásának apiVersion értéke 2022-01-01 vagy újabb lehet.
Állítsa be a következő tulajdonságot egy Service Fabric által felügyelt fürterőforráson.
"resources": [ { "apiVersion": "[variables('sfApiVersion')]", "type": "Microsoft.ServiceFabric/managedclusters", ... "properties": { "enableIpv6": true }, } ]
Telepítse az IPv6-kompatibilis felügyelt fürtöt. Igény szerint testre szabhatja a mintasablont , vagy létrehozhatja a sajátját. Az alábbi példában
westus
létrehozunk egy nevűMyResourceGroup
erőforráscsoportot, és üzembe helyezünk egy fürtöt, amelyen engedélyezve van ez a funkció.New-AzResourceGroup -Name MyResourceGroup -Location westus New-AzResourceGroupDeployment -Name deployment -ResourceGroupName MyResourceGroup -TemplateFile AzureDeploy.json
Az üzembe helyezés után a fürtök virtuális hálózata és erőforrásai kettős verem lesznek. Ennek eredményeképpen a fürtök előtérbeli terheléselosztójának egyedi DNS-címe lesz létrehozva,
mycluster-ipv6.southcentralus.cloudapp.azure.com
amely egy nyilvános IPv6-címhez van társítva a Azure Load Balancer és a magánhálózati IPv6-címekhez a virtuális gépeken.
Saját virtuális hálózat használata
Ez a funkció lehetővé teszi az ügyfelek számára egy meglévő virtuális hálózat használatát egy dedikált alhálózat megadásával, amelyben a felügyelt fürt üzembe helyezi az erőforrásait. Ez akkor lehet hasznos, ha már rendelkezik konfigurált virtuális hálózattal és alhálózattal a használni kívánt kapcsolódó biztonsági szabályzatokkal és forgalomirányítással. Miután üzembe helyez egy meglévő virtuális hálózaton, egyszerűen használhatja vagy beépítheti más hálózati funkciókat, például az Azure ExpressRoute-ot, az Azure VPN Gateway-ot, a hálózati biztonsági csoportot és a virtuális hálózatok közötti társviszony-létesítést. Emellett szükség esetén saját Azure Load Balancert is használhat .
Megjegyzés
A BYOVNET használatakor a felügyelt fürterőforrások egy alhálózaton lesznek üzembe helyezve.
Megjegyzés
Ez a beállítás nem módosítható a fürt létrehozása után, és a felügyelt fürt NSG-t rendel a megadott alhálózathoz. Ne bírálja felül az NSG-hozzárendelést, mert a forgalom megszakadhat.
Saját virtuális hálózat létrehozása:
Kérje le a szolgáltatást
Id
a Service Fabric-erőforrás-szolgáltató alkalmazás előfizetéséből.Login-AzAccount Select-AzSubscription -SubscriptionId <SubId> Get-AzADServicePrincipal -DisplayName "Azure Service Fabric Resource Provider"
Megjegyzés
Győződjön meg arról, hogy a megfelelő előfizetésben van, az egyszerű azonosító megváltozik, ha az előfizetés egy másik bérlőben van.
ServicePrincipalNames : {74cb6831-0dbb-4be1-8206-fd4df301cdc2} ApplicationId : 74cb6831-0dbb-4be1-8206-fd4df301cdc2 ObjectType : ServicePrincipal DisplayName : Azure Service Fabric Resource Provider Id : 00000000-0000-0000-0000-000000000000
Jegyezze fel az előző kimenet azonosítójátprincipalId azonosítóként egy későbbi lépésben való használatra
Szerepkördefiníció neve Szerepkördefiníció azonosítója Hálózati közreműködő 4d97b98b-1d4f-4787-a291-c67834d212e7 Jegyezze fel a és
Role definition ID
aRole definition name
tulajdonság értékeit, amelyek egy későbbi lépésben használhatókAdjon hozzá egy szerepkör-hozzárendelést a Service Fabric erőforrás-szolgáltató alkalmazáshoz. A szerepkör-hozzárendelés hozzáadása egyszeri művelet. A szerepkör hozzáadásához futtassa az alábbi PowerShell-parancsokat, vagy konfigurálja az Azure Resource Manager (ARM) sablont az alábbiak szerint.
A következő lépésekben egy MeglévőRG-vnet nevű meglévő virtuális hálózattal kezdjük a MeglévőRG erőforráscsoportban. Az alhálózat neve alapértelmezett.
Szerezze be a szükséges adatokat a meglévő virtuális hálózatról.
Login-AzAccount Select-AzSubscription -SubscriptionId <SubId> Get-AzVirtualNetwork -Name ExistingRG-vnet -ResourceGroupName ExistingRG
Jegyezze fel a következő alhálózatnevet és
Id
tulajdonságértéket, amelyet aSubnets
válasz későbbi lépésekben használt szakaszában ad vissza.Subnets:[ { ... "Id": "/subscriptions/<subscriptionId>/resourceGroups/Existing-RG/providers/Microsoft.Network/virtualNetworks/ExistingRG-vnet/subnets/default" }]
Futtassa a következő PowerShell-parancsot a 2. lépésben kapott egyszerű azonosító, szerepkördefiníció neve és a fent beszerzett hozzárendelési hatókör
Id
használatával:New-AzRoleAssignment -PrincipalId 00000000-0000-0000-0000-000000000000 -RoleDefinitionName "Network Contributor" -Scope "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualNetworks/<vnetName>/subnets/<subnetName>"
Vagy hozzáadhatja a szerepkör-hozzárendelést egy, a ,
roleDefinitionId
vnetName
, éssubnetName
megfelelő értékekkelprincipalId
konfigurált Azure Resource Manager (ARM) sablon használatával:"type": "Microsoft.Authorization/roleAssignments", "apiVersion": "2020-04-01-preview", "name": "[parameters('VNetRoleAssignmentID')]", "scope": "[concat('Microsoft.Network/virtualNetworks/', parameters('vnetName'), '/subnets/', parameters('subnetName'))]", "dependsOn": [ "[concat('Microsoft.Network/virtualNetworks/', parameters('vnetName'))]" ], "properties": { "roleDefinitionId": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/4d97b98b-1d4f-4787-a291-c67834d212e7')]", "principalId": "00000000-0000-0000-0000-000000000000" }
Megjegyzés
A VNetRoleAssignmentID azonosítónak GUID azonosítónak kell lennie. Ha újra üzembe helyez egy sablont, beleértve ezt a szerepkör-hozzárendelést, győződjön meg arról, hogy a GUID megegyezik az eredetileg használttal. Javasoljuk, hogy futtassa ezt az elkülönített erőforrást, vagy távolítsa el ezt az erőforrást a fürtsablonból az üzembe helyezés után, mivel csak egyszer kell létrehozni.
Íme egy teljes minta Azure Resource Manager (ARM) sablon, amely létrehoz egy virtuális hálózati alhálózatot, és elvégzi az ehhez a lépéshez használható szerepkör-hozzárendelést.
Konfigurálja a
subnetId
fürt üzembe helyezésének tulajdonságát a szerepkör beállítása után az alábbi módon:
A Service Fabric által felügyelt fürt erőforrásának apiVersion értéke 2022-01-01 vagy újabb lehet.
"resources": [ { "apiVersion": "[variables('sfApiVersion')]", "type": "Microsoft.ServiceFabric/managedclusters", ... }, "properties": { "subnetId": "subnetId", ... } ]
Tekintse meg a saját VNet-fürt mintasablonját , vagy szabja testre a sajátját.
Telepítse a konfigurált felügyelt fürt Azure Resource Manager (ARM) sablonját.
Az alábbi példában
westus
létrehozunk egy nevűMyResourceGroup
erőforráscsoportot, és üzembe helyezünk egy fürtöt, amelyen engedélyezve van ez a funkció.New-AzResourceGroup -Name MyResourceGroup -Location westus New-AzResourceGroupDeployment -Name deployment -ResourceGroupName MyResourceGroup -TemplateFile AzureDeploy.json
Ha saját VNet-alhálózatot hoz létre, a nyilvános végpontot továbbra is az erőforrás-szolgáltató hozza létre és felügyeli, de a konfigurált alhálózatban. A funkció nem teszi lehetővé a nyilvános IP-cím megadását/a statikus IP-cím újbóli használatát a Azure Load Balancer. Ezzel a funkcióval vagy önmagában is létrehozhat saját Azure Load Balancer, ha olyan terheléselosztó-forgatókönyvekre van szüksége, amelyek natív módon nem támogatottak.
Saját Azure Load Balancer
A felügyelt fürtök létrehoznak egy Nyilvános Azure-standard Load Balancer és teljes tartománynevet statikus nyilvános IP-címmel az elsődleges és a másodlagos csomóponttípusokhoz. Saját terheléselosztó használata lehetővé teszi, hogy egy meglévő Azure Load Balancer használjon másodlagos csomóponttípusokhoz a bejövő és a kimenő forgalomhoz is. Ha saját Azure Load Balancer hoz, a következőt teheti:
- Előre konfigurált Load Balancer statikus IP-cím használata privát vagy nyilvános forgalomhoz
- Load Balancer leképezése egy adott csomóponttípusra
- Hálózati biztonsági csoport szabályainak konfigurálása csomóponttípusonként, mert minden csomóponttípus a saját alhálózatán van üzembe helyezve
- Meglévő szabályzatok és vezérlők karbantartása
- Csak belső terheléselosztó konfigurálása és az alapértelmezett terheléselosztó használata külső forgalomhoz
Megjegyzés
A BYOVNET használatakor a felügyelt fürterőforrások egy, egy NSG-vel rendelkező alhálózatban lesznek üzembe helyezve, függetlenül a további konfigurált terheléselosztóktól.
Megjegyzés
Csomóponttípus üzembe helyezése után nem válthat az alapértelmezett terheléselosztóról egyénire, de ha engedélyezve van, módosíthatja az egyéni terheléselosztó konfigurációját az üzembe helyezés után.
Szolgáltatáskövetelmények
- Alapszintű és standard termékváltozatú Azure Load Balancer típusok támogatottak
- A háttér- és NAT-készleteknek konfigurálva kell lennie a Azure Load Balancer
- Engedélyeznie kell a kimenő kapcsolatot egy megadott nyilvános terheléselosztóval vagy az alapértelmezett nyilvános terheléselosztóval
Íme néhány példaforgatókönyv, amelyet az ügyfelek a következőkhöz használhatnak:
Ebben a példában az ügyfél egy meglévő statikus IP-címmel konfigurált meglévő Azure Load Balancer szeretne két csomóponttípusra irányítani a forgalmat.
Ebben a példában az ügyfél a meglévő Azure Load Balancer-eken keresztül szeretné irányítani a forgalmat, hogy a forgalom önállóan, külön csomóponttípusokon élő alkalmazásukba irányíthassa a forgalmat. Ha a fenti példához hasonlóan van beállítva, minden csomóponttípus a saját felügyelt NSG-je mögött lesz.
Ebben a példában egy ügyfél a meglévő belső Azure Load Balancereken keresztül szeretné irányítani a forgalmat. Ez segít a különböző csomóponttípusokon élő alkalmazások felé áramló forgalom egymástól függetlenül történő kezelésében. A példához hasonló beállítás esetén minden csomóponttípus a saját felügyelt NSG mögött lesz, és az alapértelmezett terheléselosztót használja a külső forgalomhoz.
Konfigurálás saját terheléselosztóval:
Szerezze be a szolgáltatást
Id
a Service Fabric-erőforrás-szolgáltató alkalmazás előfizetéséből:Login-AzAccount Select-AzSubscription -SubscriptionId <SubId> Get-AzADServicePrincipal -DisplayName "Azure Service Fabric Resource Provider"
Megjegyzés
Győződjön meg arról, hogy a megfelelő előfizetésben van, az egyszerű azonosító megváltozik, ha az előfizetés egy másik bérlőben van.
ServicePrincipalNames : {74cb6831-0dbb-4be1-8206-fd4df301cdc2} ApplicationId : 74cb6831-0dbb-4be1-8206-fd4df301cdc2 ObjectType : ServicePrincipal DisplayName : Azure Service Fabric Resource Provider Id : 00000000-0000-0000-0000-000000000000
Jegyezze fel az előző kimenet azonosítójátprincipalId azonosítóként egy későbbi lépésben való használatra
Szerepkördefiníció neve Szerepkördefiníció azonosítója Hálózati közreműködő 4d97b98b-1d4f-4787-a291-c67834d212e7 Jegyezze fel a és
Role definition ID
aRole definition name
tulajdonság értékeit, amelyek egy későbbi lépésben használhatókAdjon hozzá egy szerepkör-hozzárendelést a Service Fabric erőforrás-szolgáltató alkalmazáshoz. A szerepkör-hozzárendelés hozzáadása egyszeri művelet. A szerepkör hozzáadásához futtassa az alábbi PowerShell-parancsokat, vagy konfigurálja az Azure Resource Manager (ARM) sablont az alábbiak szerint.
A következő lépésekben egy Meglévő-LoadBalancer1 nevű meglévő terheléselosztóval kezdjük a Meglévő-RG erőforráscsoportban.
Szerezze be a szükséges
Id
tulajdonságadatokat a meglévő Azure Load Balancer.Login-AzAccount Select-AzSubscription -SubscriptionId <SubId> Get-AzLoadBalancer -Name "Existing-LoadBalancer1" -ResourceGroupName "Existing-RG"
Vegye figyelembe, hogy a következő lépésben a következőket
Id
fogja használni:{ ... "Id": "/subscriptions/<subscriptionId>/resourceGroups/Existing-RG/providers/Microsoft.Network/loadBalancers/Existing-LoadBalancer1" }
Futtassa a következő PowerShell-parancsot az egyszerű azonosító, a 2. lépésben szereplő szerepkördefiníció neve és az imént beszerzett hozzárendelési hatókör
Id
használatával:New-AzRoleAssignment -PrincipalId 00000000-0000-0000-0000-000000000000 -RoleDefinitionName "Network Contributor" -Scope "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/loadBalancers/<LoadBalancerName>"
Vagy hozzáadhatja a szerepkör-hozzárendelést a megfelelő értékekkel konfigurált Azure Resource Manager (ARM) sablon használatával:
principalId
roleDefinitionId
"type": "Microsoft.Authorization/roleAssignments", "apiVersion": "2020-04-01-preview", "name": "[parameters('loadBalancerRoleAssignmentID')]", "scope": "[concat('Microsoft.Network/loadBalancers/', variables('lbName'))]", "dependsOn": [ "[concat('Microsoft.Network/loadBalancers/', variables('lbName'))]" ], "properties": { "roleDefinitionId": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/4d97b98b-1d4f-4787-a291-c67834d212e7')]", "principalId": "00000000-0000-0000-0000-000000000000" }
Megjegyzés
A loadBalancerRoleAssignmentID azonosítónak GUID azonosítónak kell lennie. Ha újra üzembe helyez egy sablont, beleértve ezt a szerepkör-hozzárendelést, győződjön meg arról, hogy a GUID megegyezik az eredetileg használttal. Javasoljuk, hogy futtassa ezt az elkülönített erőforrást, vagy távolítsa el ezt az erőforrást a fürtsablonból az üzembe helyezés után, mivel csak egyszer kell létrehozni.
Tekintse meg ezt a példasablont egy nyilvános terheléselosztó létrehozásához és egy szerepkör hozzárendeléséhez.
Konfigurálja a szükséges kimenő kapcsolatot a csomóponttípushoz. Konfigurálnia kell egy nyilvános terheléselosztót a kimenő kapcsolat biztosításához, vagy az alapértelmezett nyilvános terheléselosztót kell használnia.
Konfigurálás
outboundRules
nyilvános terheléselosztó konfigurálásához kimenő kapcsolat biztosításához Lásd: terheléselosztó létrehozása és szerepkörminta hozzárendelése Azure Resource Manager (ARM) sablonVAGY
Ha úgy szeretné konfigurálni a csomóponttípust, hogy az alapértelmezett terheléselosztót használja, állítsa be a következőket a sablonban:
- A Service Fabric által felügyelt fürt erőforrásának apiVersion értéke 2022-01-01 vagy újabb lehet.
"resources": [ { "apiVersion": "[variables('sfApiVersion')]", "type": "Microsoft.ServiceFabric/managedclusters/nodetypes", "properties": { "isPrimary": false, "useDefaultPublicLoadBalancer": true } } ]
Igény szerint konfigurálhatja a bejövő alkalmazásportot és a kapcsolódó mintavételt a meglévő Azure Load Balancer. Példaként tekintse meg a saját terheléselosztó-minta Azure Resource Manager (ARM) sablonját
Ha szeretné, konfigurálja a csomóponttípusra alkalmazott felügyelt fürt NSG-szabályait, hogy a Azure Load Balancer vagy a forgalom által konfigurált összes szükséges forgalom le legyen tiltva. A bejövő NSG-szabályok konfigurálásának példájáért tekintse meg a saját terheléselosztó-minta Azure Resource Manager (ARM) sablonját. A sablonban keresse meg a tulajdonságot
networkSecurityRules
.A konfigurált felügyelt fürt ARM-sablonjának üzembe helyezése Ehhez a lépéshez a saját terheléselosztó minta Azure Resource Manager (ARM) sablonját fogjuk használni
Az alábbiakban létrehozunk egy nevű
MyResourceGroup
westus
erőforráscsoportot, és üzembe helyezünk egy fürtöt egy meglévő terheléselosztóval.New-AzResourceGroup -Name MyResourceGroup -Location westus New-AzResourceGroupDeployment -Name deployment -ResourceGroupName MyResourceGroup -TemplateFile AzureDeploy.json
Az üzembe helyezés után a másodlagos csomópont típusa úgy van konfigurálva, hogy a megadott terheléselosztót használja a bejövő és kimenő forgalomhoz. A Service Fabric-ügyfélkapcsolat és az átjáróvégpontok továbbra is a felügyelt fürt elsődleges csomóponttípusának nyilvános DNS-ére fognak mutatni statikus IP-címmel.
Gyorsított hálózatkezelés engedélyezése
A gyorsított hálózatkezelés egyetlen gyökérszintű I/O-virtualizálást (SR-IOV) tesz lehetővé egy virtuálisgép-méretezési csoport virtuális gépre, amely a csomóponttípusok mögöttes erőforrása. Ez a nagy teljesítményű útvonal áthalad a gazdagépen az adatútvonalon, ami csökkenti a késést, a jittert és a cpu-kihasználtságot a legigényesebb hálózati számítási feladatok esetében. A Service Fabric által felügyelt fürtcsomópontok típusai a támogatott virtuálisgép-termékváltozatok gyorsított hálózatkezelésével építhetők ki. További szempontokért tekintse meg ezeket a korlátozásokat és korlátozásokat .
- Vegye figyelembe, hogy a gyorsított hálózatkezelés a legtöbb általános célú és számításra optimalizált példányméretben támogatott, 2 vagy több vCPU-val. A hyperthreadingot támogató példányokon a gyorsított hálózatkezelés 4 vagy több vCPU-val rendelkező virtuálisgép-példányokon támogatott.
A gyorsított hálózatkezelés engedélyezéséhez deklaráljon tulajdonságot enableAcceleratedNetworking
a Resource Manager sablonban az alábbiak szerint:
- A Service Fabric által felügyelt fürt erőforrásának apiVersion értéke 2022-01-01 vagy újabb lehet.
{
"apiVersion": "[variables('sfApiVersion')]",
"type": "Microsoft.ServiceFabric/managedclusters/nodetypes",
...
"properties": {
...
"enableAcceleratedNetworking": true,
...
}
Ha egy meglévő Service Fabric-fürtön engedélyezni szeretné a gyorsított hálózatkezelést, először ki kell skáláznia egy Service Fabric-fürtöt egy új csomóponttípus hozzáadásával, és végre kell hajtania a következőket:
- Csomóponttípus kiépítése a gyorsított hálózatkezelés engedélyezésével
- Szolgáltatások és állapotuk migrálása a kiépített csomóponttípusba gyorsított hálózatkezelés engedélyezése mellett
Az infrastruktúra horizontális felskálázása szükséges a gyorsított hálózatkezelés meglévő fürtön való engedélyezéséhez, mivel a gyorsított hálózatkezelés helyben való engedélyezése állásidőt okozna, mivel a rendelkezésre állási csoportban lévő összes virtuális gépet le kell állítani és felszabadítani kell, mielőtt engedélyezné a gyorsított hálózatkezelést bármely meglévő hálózati adapteren.
Kiegészítő alhálózatok konfigurálása
A kiegészítő alhálózatok lehetővé teszik további felügyelt alhálózatok csomóponttípus nélküli létrehozását olyan támogatási forgatókönyvekhez, mint a Private Link Service és a Bastion Hosts.
Konfigurálja a kiegészítő alhálózatokat a tulajdonság és a szükséges paraméterek deklarálásával auxiliarySubnets
a Resource Manager sablonban az alábbiak szerint:
- A Service Fabric által felügyelt fürt erőforrásának apiVersion értéke 2022-01-01 vagy újabb lehet.
"resources": [
{
"apiVersion": "[variables('sfApiVersion')]",
"type": "Microsoft.ServiceFabric/managedclusters",
"properties": {
"auxiliarySubnets": [
{
"name" : "mysubnet",
"enableIpv6" : "true"
}
]
}
}
]
Az elérhető paraméterek teljes listájának megtekintése
Következő lépések
Service Fabric által felügyelt fürtkonfigurációs beállításokA Service Fabric által felügyelt fürtök áttekintése