Service Fabric-fürt létrehozása az Azure Resource Managerrel

• Azure Resource Manager
• Azure Portal

Az Azure Service Fabric-fürtök olyan virtuális gépek hálózattal csatlakoztatott készletei, amelyekbe a mikroszolgáltatások üzembe helyezése és felügyelete történik. Az Azure-ban futó Service Fabric-fürt egy Azure-erőforrás, és az Azure Resource Manager használatával van üzembe helyezve. Ez a cikk azt ismerteti, hogyan helyezhet üzembe biztonságos Service Fabric-fürtöt az Azure-ban a Resource Manager használatával. Használhat alapértelmezett fürtsablont vagy egyéni sablont. Ha még nem rendelkezik egyéni sablonnal, megtudhatja, hogyan hozhat létre egyet.

A fürt biztonságossá tételéhez választott biztonsági típust (pl. Windows-identitás, X509 stb.) meg kell adni a fürt kezdeti létrehozásához, és ezt követően nem módosítható. Fürt beállítása előtt olvassa el a Service Fabric-fürt biztonsági forgatókönyveit. Az Azure-ban a Service Fabric x509-tanúsítvánnyal védi a fürtöt és annak végpontjait, hitelesíti az ügyfeleket, és titkosítja az adatokat. A Felügyeleti végpontokhoz való hozzáférés biztonságossá tételéhez a Microsoft Entra ID is ajánlott. További információ: A Microsoft Entra-azonosító beállítása az ügyfelek hitelesítéséhez.

Ha éles fürtöt hoz létre éles számítási feladatok futtatásához, javasoljuk, hogy először olvassa át az éles készültségi ellenőrzőlistát.

Megjegyzés:

We recommend that you use the Azure Az PowerShell module to interact with Azure. See Install Azure PowerShell to get started. To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.

Előfeltételek

Ebben a cikkben a Service Fabric RM PowerShell- vagy Azure CLI-moduljaival helyezhet üzembe egy fürtöt:

• Azure PowerShell 4.1 és újabb verziók
• Az Azure CLI 2.0-s vagy újabb verziója

A Service Fabric-modulok referenciadokumentációját itt találja:

• Az.ServiceFabric
• az SF CLI-modul

Bejelentkezés az Azure-ba

A cikkben szereplő parancsok futtatása előtt először jelentkezzen be az Azure-ba.

Connect-AzAccount
Set-AzContext -SubscriptionId <subscriptionId>

az login
az account set --subscription $subscriptionId

Új fürt létrehozása rendszer által létrehozott önaláírt tanúsítvány használatával

Az alábbi parancsokkal létrehozhat egy, a rendszer által létrehozott önaláírt tanúsítvánnyal védett fürtöt. Ez a parancs beállít egy elsődleges fürttanúsítványt, amelyet a fürtbiztonsághoz használnak, és rendszergazdai hozzáférést állít be a felügyeleti műveletek végrehajtásához a tanúsítvány használatával. Az önaláírt tanúsítványok hasznosak a tesztfürtök biztonságossá tételéhez. Az éles fürtöket hitelesítésszolgáltatótól (CA) származó tanúsítvánnyal kell védeni.

A modulban található alapértelmezett fürtsablon használata

Az alábbi PowerShell- vagy Azure CLI-parancsokkal gyorsan hozhat létre fürtöt az alapértelmezett sablon használatával.

Az alapértelmezett sablon itt érhető el a Windowshozés itt az Ubuntu-hoz.

Az alábbi parancsok windowsos vagy Linux rendszerű fürtöket hozhatnak létre az operációs rendszer paraméterének megadásától függően. Mindkét PowerShell-/CLI-parancs a megadott CertificateOutputFolderben adja ki a tanúsítványt (győződjön meg arról, hogy a megadott tanúsítványmappa-hely már létezik a parancs futtatása előtt!).

Megjegyzés:

Az alábbi PowerShell-parancs csak az Azure PowerShell-modullal Az működik. Az Azure Resource Manager PowerShell-verziójának ellenőrzéséhez futtassa a következő PowerShell-parancsot: "Get-Module Az". Kövesse ezt a hivatkozást az Azure Resource Manager PowerShell-verziójának frissítéséhez.

A fürt üzembe helyezése a PowerShell használatával:

$resourceGroupLocation="westus"
$resourceGroupName="mycluster"
$vaultName="myvault"
$vaultResourceGroupName="myvaultrg"
$CertSubjectName="mycluster.westus.cloudapp.azure.com"
$certPassword="Password123!@#" | ConvertTo-SecureString -AsPlainText -Force 
$vmpassword="Password4321!@#" | ConvertTo-SecureString -AsPlainText -Force
$vmuser="myadmin"
$os="WindowsServer2016DatacenterwithContainers"
$certOutputFolder="c:\certificates"

New-AzServiceFabricCluster -ResourceGroupName $resourceGroupName -Location $resourceGroupLocation -CertificateOutputFolder $certOutputFolder -CertificatePassword $certpassword -CertificateSubjectName $CertSubjectName -OS $os -VmPassword $vmpassword -VmUserName $vmuser

A fürt üzembe helyezése az Azure CLI használatával:

declare resourceGroupLocation="westus"
declare resourceGroupName="mylinux"
declare vaultResourceGroupName="myvaultrg"
declare vaultName="myvault"
declare CertSubjectName="mylinux.westus.cloudapp.azure.com"
declare vmpassword="Password!1"
declare certpassword="Password!4321"
declare vmuser="myadmin"
declare vmOs="UbuntuServer1804"
declare certOutputFolder="c:\certificates"

az sf cluster create --resource-group $resourceGroupName --location $resourceGroupLocation  \
	--certificate-output-folder $certOutputFolder --certificate-password $certpassword  \
	--vault-name $vaultName --vault-resource-group $resourceGroupName  \
	--template-file $templateFilePath --parameter-file $parametersFilePath --vm-os $vmOs  \
	--vm-password $vmpassword --vm-user-name $vmuser

Saját egyéni sablon használata

Ha egyéni sablont kell létrehoznia az igényeinek megfelelően, javasoljuk, hogy az Azure Service Fabric-sablonmintákban elérhető sablonok egyikével kezdje. Megtudhatja, hogyan szabhatja testre a fürtsablont.

Ha már rendelkezik egyéni sablonnal, ellenőrizze, hogy a sablon és a paraméterfájl mindhárom tanúsítványhoz kapcsolódó paramétere a következőképpen van-e elnevezve, és az értékek null értékűek-e az alábbiak szerint:

   "certificateThumbprint": {
      "value": ""
    },
    "sourceVaultValue": {
      "value": ""
    },
    "certificateUrlValue": {
      "value": ""
    },

A fürt üzembe helyezése a PowerShell használatával:

$resourceGroupLocation="westus"
$resourceGroupName="mycluster"
$CertSubjectName="mycluster.westus.cloudapp.azure.com"
$certPassword="Password!1" | ConvertTo-SecureString -AsPlainText -Force 
$certOutputFolder="c:\certificates"

$parameterFilePath="c:\mytemplates\mytemplateparm.json"
$templateFilePath="c:\mytemplates\mytemplate.json"

New-AzServiceFabricCluster -ResourceGroupName $resourceGroupName -CertificateOutputFolder $certOutputFolder -CertificatePassword $certpassword -CertificateSubjectName $CertSubjectName -TemplateFile $templateFilePath -ParameterFile $parameterFilePath 

A fürt üzembe helyezése az Azure CLI használatával:

declare certPassword=""
declare resourceGroupLocation="westus"
declare resourceGroupName="mylinux"
declare certSubjectName="mylinuxsecure.westus.cloudapp.azure.com"
declare parameterFilePath="c:\mytemplates\linuxtemplateparm.json"
declare templateFilePath="c:\mytemplates\linuxtemplate.json"
declare certOutputFolder="c:\certificates"

az sf cluster create --resource-group $resourceGroupName --location $resourceGroupLocation  \
	--certificate-output-folder $certOutputFolder --certificate-password $certPassword  \
	--certificate-subject-name $certSubjectName \
	--template-file $templateFilePath --parameter-file $parametersFilePath

Új fürt létrehozása saját X.509-tanúsítvánnyal

Az alábbi paranccsal megadhat egy meglévő tanúsítványt egy új fürt létrehozásához és védelméhez.

Ha ez egy hitelesítésszolgáltató által aláírt tanúsítvány, amelyet más célokra is használni fog, javasoljuk, hogy külön erőforráscsoportot adjon meg kifejezetten a kulcstartóhoz. Javasoljuk, hogy helyezze a kulcstartót a saját erőforráscsoportjába. Ez a művelet lehetővé teszi a számítási és tárolási erőforráscsoportok, köztük a Service Fabric-fürtöt tartalmazó erőforráscsoport eltávolítását anélkül, hogy elveszítené a kulcsokat és a titkos kulcsokat. A kulcstartót tartalmazó erőforráscsoportnak ugyanabban a régióban kell lennie, mint az azt használó fürtnek.

Használja az alapértelmezett öt csomópontot, egy csomóponttípus-sablont, amely a modulban található

Az alapértelmezett sablon itt érhető el a Windowshozés itt az Ubuntu-hoz.

A fürt üzembe helyezése a PowerShell használatával:

$resourceGroupLocation="westus"
$resourceGroupName="mycluster"
$vaultName="myvault"
$vaultResourceGroupName="myvaultrg"
$certPassword="Password!1" | ConvertTo-SecureString -AsPlainText -Force 
$vmpassword=("Password!4321" | ConvertTo-SecureString -AsPlainText -Force) 
$vmuser="myadmin"
$os="WindowsServer2016DatacenterwithContainers"

New-AzServiceFabricCluster -ResourceGroupName $resourceGroupName -Location $resourceGroupLocation -KeyVaultResourceGroupName $vaultResourceGroupName -KeyVaultName $vaultName -CertificateFile C:\MyCertificates\chackocertificate3.pfx -CertificatePassword $certPassword -OS $os -VmPassword $vmpassword -VmUserName $vmuser 

A fürt üzembe helyezése az Azure CLI használatával:

declare vmPassword="Password!1"
declare certPassword="Password!1"
declare vmUser="myadmin"
declare resourceGroupLocation="westus"
declare resourceGroupName="mylinux"
declare vaultResourceGroupName="myvaultrg"
declare vaultName="myvault"
declare certificate-file="c:\certificates\mycert.pem"
declare vmOs="UbuntuServer1804"

az sf cluster create --resource-group $resourceGroupName --location $resourceGroupLocation  \
	--certificate-file $certificate-file --certificate-password $certPassword  \
	--vault-name $vaultName --vault-resource-group $vaultResourceGroupName  \
    --vm-os vmOs \
	--vm-password $vmPassword --vm-user-name $vmUser

Saját egyéni fürtsablon használata

Ha egyéni sablont kell létrehoznia az igényeinek megfelelően, javasoljuk, hogy az Azure Service Fabric-sablonmintákban elérhető sablonok egyikével kezdje. Megtudhatja, hogyan szabhatja testre a fürtsablont.

Ha már rendelkezik egyéni sablonnal, ellenőrizze, hogy a sablon mindhárom tanúsítványhoz kapcsolódó paramétere és a paraméterfájl neve a következőképpen van-e elnevezve, és az értékek null értékűek-e az alábbiak szerint.

   "certificateThumbprint": {
      "value": ""
    },
    "sourceVaultValue": {
      "value": ""
    },
    "certificateUrlValue": {
      "value": ""
    },

A fürt üzembe helyezése a PowerShell használatával:

$resourceGroupLocation="westus"
$resourceGroupName="mycluster"
$vaultName="myvault"
$vaultResourceGroupName="myvaultrg"
$certPassword="Password!1" | ConvertTo-SecureString -AsPlainText -Force 
$os="WindowsServer2016DatacenterwithContainers"
$parameterFilePath="c:\mytemplates\mytemplateparm.json"
$templateFilePath="c:\mytemplates\mytemplate.json"
$certificateFile="C:\MyCertificates\chackonewcertificate3.pem"

New-AzServiceFabricCluster -ResourceGroupName $resourceGroupName -Location $resourceGroupLocation -TemplateFile $templateFilePath -ParameterFile $parameterFilePath -KeyVaultResourceGroupName $vaultResourceGroupName -KeyVaultName $vaultName -CertificateFile $certificateFile -CertificatePassword $certPassword

A fürt üzembe helyezése az Azure CLI használatával:

declare certPassword="Password!1"
declare resourceGroupLocation="westus"
declare resourceGroupName="mylinux"
declare vaultResourceGroupName="myvaultrg"
declare vaultName="myvault"
declare parameterFilePath="c:\mytemplates\linuxtemplateparm.json"
declare templateFilePath="c:\mytemplates\linuxtemplate.json"

az sf cluster create --resource-group $resourceGroupName --location $resourceGroupLocation  \
	--certificate-file $certificate-file --certificate-password $password  \
	--vault-name $vaultName --vault-resource-group $vaultResourceGroupName  \
	--template-file $templateFilePath --parameter-file $parametersFilePath 

Kulcstartóba feltöltött titkos kód mutatója

Meglévő kulcstartó használatához engedélyezni kell a kulcstartót az üzembe helyezéshez , hogy a számítási erőforrás-szolgáltató tanúsítványokat kapjon tőle, és a fürtcsomópontokra telepítse.

A fürt üzembe helyezése a PowerShell használatával:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoKeyVault' -EnabledForDeployment

$parameterFilePath="c:\mytemplates\mytemplate.json"
$templateFilePath="c:\mytemplates\mytemplateparm.json"
$secretID="https://test1.vault.azure.net:443/secrets/testcertificate4/55ec7c4dc61a462bbc645ffc9b4b225f"

New-AzServiceFabricCluster -ResourceGroupName $resourceGroupName -SecretIdentifier $secretID -TemplateFile $templateFilePath -ParameterFile $parameterFilePath 

A fürt üzembe helyezése az Azure CLI használatával:

declare $resourceGroupName = "testRG"
declare $parameterFilePath="c:\mytemplates\mytemplate.json"
declare $templateFilePath="c:\mytemplates\mytemplateparm.json"
declare $secretID="https://test1.vault.azure.net:443/secrets/testcertificate4/55ec7c4dc61a462bbc645ffc9b4b225f"

az sf cluster create --resource-group $resourceGroupName --location $resourceGroupLocation  \
	--secret-identifier $secretID  \
	--template-file $templateFilePath --parameter-file $parameterFilePath 

Következő lépések

Jelenleg egy biztonságos fürt fut az Azure-ban. Ezután csatlakozzon a fürthöz, és ismerje meg, hogyan kezelheti az alkalmazás titkos kulcsait.

Ha a JSON-szintaxist és -tulajdonságokat sablonként szeretné használni, tekintse meg a Microsoft.ServiceFabric/clusters sablonreferenciát.