Azure ポータルを使用して Azure で Service Fabric クラスターを作成するCreate a Service Fabric cluster in Azure using the Azure portal

これは、Azure Portal を使用して Azure で Service Fabric クラスター (Linux または Windows) のセットアップの手順を説明するステップ バイ ステップ ガイドです。This is a step-by-step guide that walks you through the steps of setting up a Service Fabric cluster (Linux or Windows) in Azure using the Azure portal. このガイドでは、次の手順について説明します。This guide walks you through the following steps:

  • Azure Portal を使用して Azure でクラスターを作成します。Create a cluster in Azure through the Azure portal.
  • 証明書を使って管理者を認証します。Authenticate administrators using certificates.

注意

Azure Active Directory を使用したユーザー認証、アプリケーション セキュリティ用の証明書の設定など、詳細なセキュリティ オプションについては、Azure Resource Manager を使用したクラスターの作成に関する記事を参照してください。For more advanced security options, such as user authentication with Azure Active Directory and setting up certificates for application security, create your cluster using Azure Resource Manager.

クラスターのセキュリティCluster security

Service Fabric では証明書を使用して、クラスターとそのアプリケーションのさまざまな側面をセキュリティで保護するための認証および暗号化を指定します。Certificates are used in Service Fabric to provide authentication and encryption to secure various aspects of a cluster and its applications. Service Fabric での証明書の使用方法の詳細については、「Service Fabric クラスターのセキュリティに関するシナリオ」を参照してください。For more information on how certificates are used in Service Fabric, see Service Fabric cluster security scenarios.

今回初めて Service Fabric クラスターを作成する場合、またはテスト ワークロード用のクラスターをデプロイする場合は、次のセクション ( 「Create cluster in the Azure Portal」(Azure Portal でのクラスターの作成) ) に進み、テスト ワークロードを実行するクラスターに必要な証明書をシステムで生成してください。If this is the first time you are creating a service fabric cluster or are deploying a cluster for test workloads, you can skip to the next section (Create cluster in the Azure Portal) and have the system generate certificates needed for your clusters that run test workloads. 運用ワークロード用のクラスターを設定する場合は、引き続きこの説明を読んでください。If you are setting up a cluster for production workloads, then continue reading.

クラスターとサーバーの証明書 (必須)Cluster and server certificate (required)

この証明書はクラスターをセキュリティで保護し、クラスターに対する未承認のアクセスを防ぐために必要です。This certificate is required to secure a cluster and prevent unauthorized access to it. 証明書により、クラスター セキュリティが次のような方法で提供されます。It provides cluster security in a couple ways:

  • クラスター認証: クラスター フェデレーションのためのノード間通信を認証します。Cluster authentication: Authenticates node-to-node communication for cluster federation. この証明書で自分の ID を証明できたノードだけがクラスターに参加できます。Only nodes that can prove their identity with this certificate can join the cluster.
  • サーバー認証: 管理クライアントに対するクラスター管理エンドポイントを認証します。これで、管理クライアントにより、実際のクラスターと通信していることが認識されるようになります。Server authentication: Authenticates the cluster management endpoints to a management client, so that the management client knows it is talking to the real cluster. この証明書は、HTTPS 管理 API および HTTPS 経由の Service Fabric Explorer に対して SSL も提供します。This certificate also provides SSL for the HTTPS management API and for Service Fabric Explorer over HTTPS.

この目的のため、証明書は次の要件を満たす必要があります。To serve these purposes, the certificate must meet the following requirements:

  • 証明書は秘密キーを含む必要があります。The certificate must contain a private key.
  • 証明書はキー交換のために作成され、Personal Information Exchange (.pfx) ファイルにエクスポートできる必要があります。The certificate must be created for key exchange, exportable to a Personal Information Exchange (.pfx) file.
  • 証明書のサブジェクト名は、Service Fabric クラスターへのアクセスに使用されるドメインに一致する必要があります。The certificate's subject name must match the domain used to access the Service Fabric cluster. これは、HTTPS 管理エンドポイントと Service Fabric Explorer 用の SSL を提供するために必要です。This is required to provide SSL for the cluster's HTTPS management endpoints and Service Fabric Explorer. 証明機関 (CA) から .cloudapp.azure.com ドメインの SSL 証明書を取得することはできません。You cannot obtain an SSL certificate from a certificate authority (CA) for the .cloudapp.azure.com domain. クラスターのカスタム ドメイン名を取得します。Acquire a custom domain name for your cluster. CA に証明書を要求するときは、証明書の件名がクラスターに使用するカスタム ドメイン名と一致している必要があります。When you request a certificate from a CA the certificate's subject name must match the custom domain name used for your cluster.

クライアント認証証明書Client authentication certificates

その他のクライアント証明書は、クラスター管理タスクに対して管理者を認証します。Additional client certificates authenticate administrators for cluster management tasks. Service Fabric には、admin および read-only user という 2 つのアクセス レベルがあります。Service Fabric has two access levels: admin and read-only user. 管理アクセスについて、少なくとも 1 つの証明書を使用する必要があります。At minimum, a single certificate for administrative access should be used. 追加のユーザー レベル アクセスとして、別の証明書を指定する必要があります。For additional user-level access, a separate certificate must be provided. アクセス ロールの詳細については、「ロールベースのアクセス制御 (Service Fabric クライアント用)」を参照してください。For more information on access roles, see role-based access control for Service Fabric clients.

Service Fabric を操作するために、クライアント認証証明書を Key Vault にアップロードする必要はありません。You do not need to upload Client authentication certificates to Key Vault to work with Service Fabric. この証明書は、クラスター管理を許可されているユーザーにのみ指定する必要があります。These certificates only need to be provided to users who are authorized for cluster management.

注意

クライアントのクラスター管理操作を認証するには、Azure Active Directory を使用することをお勧めします。Azure Active Directory is the recommended way to authenticate clients for cluster management operations. Azure Active Directory を使用するには、Azure Resource Manager を使用してクラスターを作成する必要があります。To use Azure Active Directory, you must create a cluster using Azure Resource Manager.

アプリケーション証明書 (省略可能)Application certificates (optional)

アプリケーション セキュリティの目的で、任意の数の追加の証明書をクラスターにインストールできます。Any number of additional certificates can be installed on a cluster for application security purposes. クラスターを作成する前に、ノードにインストールする証明書を必要とするアプリケーション セキュリティ シナリオについて考慮します。これには次のようなものがあります。Before creating your cluster, consider the application security scenarios that require a certificate to be installed on the nodes, such as:

  • アプリケーション構成値の暗号化と復号化Encryption and decryption of application configuration values
  • レプリケーション中のノード間のデータの暗号化Encryption of data across nodes during replication

Azure Portal を使用してクラスターを作成した場合、アプリケーション証明書を構成することはできません。Application certificates cannot be configured when creating a cluster through the Azure portal. クラスターのセットアップ時にアプリケーション証明書を構成するには、Azure Resource Manager を使用してクラスターを作成する必要があります。To configure application certificates at cluster setup time, you must create a cluster using Azure Resource Manager. 作成後に、アプリケーション証明書をクラスターに追加することもできます。You can also add application certificates to the cluster after it has been created.

Azure ポータルでのクラスターの作成Create cluster in the Azure portal

アプリケーションのニーズを満たす運用クラスターを作成するには、いくつかの計画を立てる必要があります。この作業に役立つ Service Fabric クラスターの計画に関する考慮事項のドキュメントを読んで理解しておくことを強くお勧めします。Creating a production cluster to meet your application needs involves some planning, to help you with that, it is strongly recommended that you read and understand the Service Fabric Cluster planning considerations document.

Service Fabric クラスター リソースの検索Search for the Service Fabric cluster resource

Azure Portal にサインインします。Sign in to the Azure portal. [リソースの作成] をクリックし、新しいリソース テンプレートを追加します。Click Create a resource to add a new resource template. [Marketplace][すべて] で、Service Fabric クラスター テンプレートを検索します。Search for the Service Fabric Cluster template in the Marketplace under Everything. 一覧から [Service Fabric クラスター] を選択します。Select Service Fabric Cluster from the list.

Azure ポータルで Service Fabric クラスター テンプレートを検索します。

[Service Fabric クラスター] ブレードに移動し、 [作成] をクリックします。Navigate to the Service Fabric Cluster blade, and click Create.

[Service Fabric クラスターの作成] ブレードには次の 4 つの手順があります。The Create Service Fabric cluster blade has the following four steps:

1.基本1. Basics

新しいリソース グループの作成に関するスクリーンショット。

[基本] ブレードでは、クラスターの基本情報を指定する必要があります。In the Basics blade, you need to provide the basic details for your cluster.

  1. クラスターの名前を入力します。Enter the name of your cluster.

  2. VM 向けリモート デスクトップのユーザー名パスワードを入力します。Enter a User name and Password for Remote Desktop for the VMs.

  3. クラスターをデプロイする サブスクリプション を選択します (特に、複数のサブスクリプションがある場合)。Make sure to select the Subscription that you want your cluster to be deployed to, especially if you have multiple subscriptions.

  4. 新しいリソース グループを作成します。Create a new Resource group. クラスター名と同じにすると、後で検索が楽になります。デプロイメントを変更したり、クラスターを削除したりするときに特に便利です。It is best to give it the same name as the cluster, since it helps in finding them later, especially when you are trying to make changes to your deployment or delete your cluster.

    注意

    既存のリソース グループを使用することもできますが、新しいリソース グループを作成することをお勧めします。Although you can decide to use an existing resource group, it is a good practice to create a new resource group. これにより、クラスターとそれが使用するすべてのリソースを簡単に削除できるようになります。This makes it easy to delete clusters and all the resources it uses.

  5. クラスターを作成する場所を選択します。Select the Location in which you want to create the cluster. 既にキー コンテナーにアップロードされている既存の証明書を使用する場合は、キー コンテナーが存在するのと同じリージョンを使用する必要があります。If you are planning to use an existing certificate that you have already uploaded to a key vault, You must use the same region that your Key vault is in.

2.クラスター構成2. Cluster configuration

ノード タイプの作成

クラスター ノードを構成します。Configure your cluster nodes. ノードのタイプには、VM のサイズ、VM の数、プロパティが定義されています。Node types define the VM sizes, the number of VMs, and their properties. クラスターには複数のノードのタイプを指定できますが、プライマリ ノードのタイプ (ポータルに最初に定義したノード) には、少なくとも 5 つの VM が必要です。これが Service Fabric システム サービスが配置されるノードのタイプになります。Your cluster can have more than one node type, but the primary node type (the first one that you define on the portal) must have at least five VMs, as this is the node type where Service Fabric system services are placed. "NodeTypeName" の既定の配置プロパティは自動的に追加されるため、 [配置プロパティ] を構成しないでください。Do not configure Placement Properties because a default placement property of "NodeTypeName" is added automatically.

注意

複数のノードのタイプの一般的なシナリオは、フロントエンド サービスとバックエンド サービスを含むアプリケーションです。A common scenario for multiple node types is an application that contains a front-end service and a back-end service. フロントエンド サービスは、小規模の VM (D2_V2 のような VM サイズ) に配置して、インターネットへのポートを開きます。また、バックエンド サービスは、大規模な VM (D3_V2、D6_V2、D15_V2 などの VM サイズ) に配置して、インターネットに面するポートは開きません。You want to put the front-end service on smaller VMs (VM sizes like D2_V2) with ports open to the Internet, and put the back-end service on larger VMs (with VM sizes like D3_V2, D6_V2, D15_V2, and so on) with no Internet-facing ports open.

  1. ノードのタイプの名前を選択します (英字と数字のみを含む 1 ~ 12 文字)。Choose a name for your node type (1 to 12 characters containing only letters and numbers).
  2. プライマリ ノード タイプの最小 VM サイズは、クラスターに選択した耐久性レベルによって決まります。The minimum size of VMs for the primary node type is driven by the Durability tier you choose for the cluster. 既定の耐久性レベルはブロンズです。The default for the durability tier is bronze. 耐久性の詳細については、Service Fabric クラスターの耐久性の選択方法に関する記事を参照してください。For more information on durability, see how to choose the Service Fabric cluster durability.
  3. 仮想マシンのサイズを選択します。Select the Virtual machine size. D シリーズ VM には SSD ドライブが備わっており、ステートフルなアプリケーションに最適です。D-series VMs have SSD drives and are highly recommended for stateful applications. 部分的なコアを持つ VM SKU や使用可能なディスク容量が 10 GB 未満の VM SKU は使用しないでください。Do not use any VM SKU that has partial cores or have less than 10 GB of available disk capacity. VM サイズの選択については、Service Fabric クラスターの計画に関する考慮事項のドキュメントを参照してください。Refer to service fabric cluster planning consideration document for help in selecting the VM size.
  4. 1 つのノード クラスターと 3 つのノード クラスターは、テストでの使用のみを目的としています。Single node cluster and three node clusters are meant for test use only. 運用ワークロードの実行では、サポートされません。They are not supported for any running production workloads.
  5. ノード タイプに対する最初の VM スケール セットの容量を選択します。Choose the Initial VM scale set capacity for the node type. 後でノード タイプの VM 数を増減できますが、プライマリ ノード タイプの場合は、運用ワークロード用に 5 つ以上の VM が必要です。You can scale up or down the number of VMs in a node type later on, but on the primary node type, the minimum is five for production workloads. 他のノード タイプには、VM 数に最小値の 1 を設定できます。Other node types can have a minimum of one VM. プライマリ ノード タイプの最小 VM によって、クラスターの信頼性が決まります。The minimum number of VMs for the primary node type drives the reliability of your cluster.
  6. カスタム エンドポイントを構成します。Configure Custom endpoints. このフィールドでは、アプリケーション用にパブリック インターネットに Azure Load Balancer 経由で公開するポートのコンマ区切りのリストを入力できます。This field allows you to enter a comma-separated list of ports that you want to expose through the Azure Load Balancer to the public Internet for your applications. たとえば、Web アプリケーションをクラスターにデプロイする予定がある場合は、「80」と入力して、クラスターへのポート 80 でのトラフィックを許可します。For example, if you plan to deploy a web application to your cluster, enter "80" here to allow traffic on port 80 into your cluster. エンドポイントの詳細については、アプリケーションとの通信に関する記事を参照してください。For more information on endpoints, see communicating with applications
  7. リバース プロキシを有効にしますEnable reverse proxy. Service Fabric のリバース プロキシは、Service Fabric クラスターで実行されているマイクロサービスが HTTP エンドポイントを持つ他のサービスを検出してそのサービスと通信するのに役立ちます。The Service Fabric reverse proxy helps microservices running in a Service Fabric cluster discover and communicate with other services that have http endpoints.
  8. [クラスター構成] ブレードに戻り、 [+ オプションの設定を表示する] で、クラスターの診断を構成します。Back in the Cluster configuration blade, under +Show optional settings, configure cluster diagnostics. 既定では、問題のトラブルシューティングのためクラスターで診断が有効になります。By default, diagnostics are enabled on your cluster to assist with troubleshooting issues. 診断を無効にするには、 [ステータス][オフ] に切り替えます。If you want to disable diagnostics change the Status toggle to Off. 診断をオフにすることは 推奨されませんTurning off diagnostics is not recommended. Application Insights プロジェクトが既に作成されている場合は、キーを付与し、アプリケーション トレースがそのプロジェクトにルーティングされるようにします。If you already have Application Insights project created, then give its key, so that the application traces are routed to it.
  9. DNS サービスを含めますInclude DNS service. DNS サービスは DNS プロトコルを使用して他のサービスを検索できるオプションのサービスです。The DNS service an optional service that enables you to find other services using the DNS protocol.
  10. クラスターを設定するファブリック アップグレード モードを選択します。Select the Fabric upgrade mode you want set your cluster to. 使用可能な最新バージョンをシステムで自動的に選択し、クラスターをそのバージョンにアップグレード場合は、 [自動] を選択します。Select Automatic, if you want the system to automatically pick up the latest available version and try to upgrade your cluster to it. サポートされるバージョンを選択する場合は、 マニュアルモードに設定します。Set the mode to Manual, if you want to choose a supported version. ファブリックのアップグレード モードの詳細については、Service Fabric クラスター アップグレードのドキュメントを参照してください。For more details on the Fabric upgrade mode see the Service Fabric Cluster Upgrade document.

注意

サポートされるバージョンの Service Fabric を実行しているクラスターのみがサポート対象になります。We support only clusters that are running supported versions of Service Fabric. マニュアル モードを選択すると、自身の責任でクラスターをサポートされるバージョンにアップグレードする必要があります。By selecting the Manual mode, you are taking on the responsibility to upgrade your cluster to a supported version.

手順 3.セキュリティ3. Security

Azure portal のセキュリティ構成のスクリーンショット。

セキュア テスト クラスターを簡単に設定できるようにするために、 [Basic] オプションが用意されています。To make setting up a secure test cluster easy for you, we have provided the Basic option. 既に証明書があり、キー コンテナーにアップロードしている場合 (また、デプロイでキー コンテナーが使用可能になっている場合) は、 [カスタム] オプションを使用しますIf you already have a certificate and have uploaded it to your key vault (and enabled the key vault for deployment), then use the Custom option

[Basic] オプションBasic Option

画面の指示に従って、既存のキー コンテナーを追加または再利用し、証明書を追加します。Follow the screens to add or reuse an existing key vault and add a certificate. 証明書の追加は、同期処理です。そのため、証明書が作成されるのを待機する必要があります。The addition of the certificate is a synchronous process and so you will have to wait for the certificate to be created.

この処理が完了するまで、画面から移動しないでください。Resist the temptation of navigating away from the screen until the preceding process is completed.

CreateKeyVault

キー コンテナーが作成されたので、お使いのキー コンテナーのアクセス ポリシーを編集します。Now that the key vault is created, edit the access policies for your key vault.

CreateKeyVault2

[Edit access policies](アクセス ポリシーの編集) をクリックし、高度なアクセス ポリシーを表示して、デプロイのための Azure Virtual Machines へのアクセスを有効にします。Click on the Edit access policies, then Show advanced access policies and enable access to Azure Virtual Machines for deployment. テンプレートのデプロイも有効にすることをお勧めします。It is recommended that you enable the template deployment as well. 選択を行ったら、忘れずに [保存] ボタンをクリックし、 [アクセス ポリシー] ウィンドウを終了します。Once you have made your selections, do not forget to click the Save button and close out of the Access policies pane.

CreateKeyVault3

証明書の名前を入力して [OK] をクリックします。Enter the name of the certificate and click OK.

CreateKeyVault4

カスタム オプションCustom Option

[Basic] オプションの手順を既に実行している場合は、このセクションをスキップします。Skip this section, if you have already performed the steps in the Basic Option.

SecurityCustomOption

[セキュリティ] ページを完了するには、[ソース キー コンテナー]、[証明書 URL]、および [証明書の拇印] の情報が必要です。You need the Source key vault, Certificate URL, and Certificate thumbprint information to complete the security page. これらが手元にない場合は、別のブラウザー ウィンドウを開き、Azure portal で次を実行します。If you do not have it handy, open up another browser window and in the Azure portal do the following

  1. キー コンテナー サービスに移動します。Navigate to your key vault service.

  2. [プロパティ] タブを選択し、[リソース ID] を他のブラウザー ウィンドウの [ソース キー コンテナー] にコピーします。Select the "Properties" tab and copy the 'RESOURCE ID' to "Source key vault" on the other browser window

    CertInfo0

  3. [証明書] タブを選択します。Now, select the "Certificates" tab.

  4. 証明書の拇印をクリックすると、[バージョン] ページに移動します。Click on certificate thumbprint, which takes you to the Versions page.

  5. 現在のバージョンの下に表示されている GUID をクリックします。Click on the GUIDs you see under the current Version.

    CertInfo1

  6. 以下のような画面が表示されます。You should now be on the screen like below. 16 進の SHA-1 拇印を他のブラウザー ウィンドウの [証明書の拇印] にコピーします。Copy the hexadecimal SHA-1 Thumbprint to "Certificate thumbprint" on the other browser window

  7. [シークレット識別子] を他のブラウザー ウィンドウの [証明書 URL] にコピーします。Copy the 'Secret Identifier' to the "Certificate URL" on other browser window.

    CertInfo2

[詳細設定の構成] ボックスをオンにして、管理用クライアント読み取り専用クライアントのクライアント証明書を入植します。Check the Configure advanced settings box to enter client certificates for admin client and read-only client. 該当する場合は、これらのフィールドに管理用クライアント証明書の拇印と、読み取り専用ユーザー クライアント証明書の拇印を入力します。In these fields, enter the thumbprint of your admin client certificate and the thumbprint of your read-only user client certificate, if applicable. 管理者がクラスターに接続しようとした場合、ここに入力した拇印値に一致する拇印を持つ証明書がある場合にのみアクセスが許可されます。When administrators attempt to connect to the cluster, they are granted access only if they have a certificate with a thumbprint that matches the thumbprint values entered here.

4.まとめ4. Summary

以上でクラスターをデプロイする準備が整いました。Now you are ready to deploy the cluster. クラスターをデプロイする前に、大きな青い情報ボックスの中を確認し、リンクを探して、証明書をダウンロードします。Before you do that, download the certificate, look inside the large blue informational box for the link. 証明書は、必ず安全な場所に保管してください。Make sure to keep the cert in a safe place. 証明書がないと、クラスターに接続できません。you need it to connect to your cluster. ダウンロードした証明書には、パスワードが設定されていないので、パスワードを追加することをお勧めします。Since the certificate you downloaded does not have a password, it is advised that you add one.

クラスターの作成を完了するには、 [作成] をクリックします。To complete the cluster creation, click Create. 必要に応じて、テンプレートをダウンロードすることもできます。You can optionally download the template.

まとめ

通知には作成の進行状況が表示されますYou can see the creation progress in the notifications. (画面の右上にあるステータス バーの近くの "ベル" アイコンをクリックします)。クラスターの作成中に [スタート画面にピン留めする] をクリックした場合、 [Deploying Service Fabric Cluster (Service Fabric クラスターのデプロイ)][スタート] 画面にピン留めされます。(Click the "Bell" icon near the status bar at the upper right of your screen.) If you clicked Pin to Startboard while creating the cluster, you see Deploying Service Fabric Cluster pinned to the Start board. このプロセスには少し時間がかかります。This process will take some time.

Powershell または CLI を使用してクラスターで管理操作を実行するには、クラスターに接続する必要があります。詳細については、クラスターへの接続に関する記事を参照してください。In order to perform management operations on your cluster using Powershell or CLI, you need to connect to your cluster, read more on how to at connecting to your cluster.

クラスターの状態を表示するView your cluster status

ダッシュボードのクラスターの詳細のスクリーンショット。

クラスターの作成後、ポータルでクラスターを検査できます。Once your cluster is created, you can inspect your cluster in the portal:

  1. [参照] に移動し、 [Service Fabric クラスター] をクリックします。Go to Browse and click Service Fabric Clusters.
  2. クラスターを探してクリックします。Locate your cluster and click it.
  3. これにより、クラスターのパブリック エンドポイント、Service Fabric Explorer へのリンクなどのクラスターに関する詳細が、ダッシュボードに表示されます。You can now see the details of your cluster in the dashboard, including the cluster's public endpoint and a link to Service Fabric Explorer.

クラスターのダッシュボード ブレードの [ノード モニター] セクションには、正常な VM 数と正常ではない VM 数が表示されます。The Node Monitor section on the cluster's dashboard blade indicates the number of VMs that are healthy and not healthy. クラスターの正常性の詳細については、Service Fabric の正常性モデルの概要に関するページを参照してください。You can find more details about the cluster's health at Service Fabric health model introduction.

注意

Service Fabric クラスターが常に稼働状態になって可用性を維持し、その状態を保持するには、一定数のノードが常にアップしている必要があります。これは、「維持クォーラム」と呼ばれます。Service Fabric clusters require a certain number of nodes to be up always to maintain availability and preserve state - referred to as "maintaining quorum". そのため、最初に状態の完全バックアップを実行していない限り、クラスター内のすべてのコンピューターをシャットダウンするのは一般に安全ではありません。Therefore, it is typically not safe to shut down all machines in the cluster unless you have first performed a full backup of your state.

仮想マシン スケール セット インスタンスまたはクラスター ノードにリモート接続するRemote connect to a Virtual Machine Scale Set instance or a cluster node

クラスターで指定する NodeType ごとに、仮想マシン スケール セットがセットアップされます。Each of the NodeTypes you specify in your cluster results in a Virtual Machine Scale Set getting set-up.

次の手順Next steps

この時点で、管理の認証に証明書を使用したセキュリティで保護されたクラスターがあります。At this point, you have a secure cluster using certificates for management authentication. 次に、クラスターに接続して、アプリケーション シークレットを管理する方法を説明します。Next, connect to your cluster and learn how to manage application secrets. また、Service Fabric のサポート オプションについて学びます。Also, learn about Service Fabric support options.