Azure portalını kullanarak Azure'da Service Fabric kümesi oluşturma

  • Makale

Bu, Azure portalını kullanarak Azure'da Service Fabric kümesi (Linux veya Windows) ayarlama adımlarında size yol gösteren adım adım bir kılavuzdur. Bu kılavuz aşağıdaki adımlarda size yol gösterir:

  • Azure portalı aracılığıyla Azure'da bir küme oluşturun.
  • Sertifikaları kullanarak yöneticilerin kimliğini doğrulama.

Dekont

Microsoft Entra Id ile kullanıcı kimlik doğrulaması ve uygulama güvenliği için sertifika ayarlama gibi daha gelişmiş güvenlik seçenekleri için Azure Resource Manager'ı kullanarak kümenizi oluşturun.

Küme güvenliği

Sertifikalar, Service Fabric’te bir küme ile uygulamalarının çeşitli yönlerini güvenli hale getirmek üzere kimlik doğrulaması ve şifreleme sağlamak için kullanılır. Sertifikaların Service Fabric’te kullanılmasıyla ilgili daha fazla bilgi için bkz. Service Fabric kümesi güvenlik senaryoları.

İlk kez bir service fabric kümesi oluşturuyorsanız veya test iş yükleri için bir küme dağıtıyorsanız, sonraki bölüme atlayabilir (Azure portalında küme oluşturma) ve sistemin test iş yüklerini çalıştıran kümeleriniz için gerekli sertifikaları oluşturmasını sağlayabilirsiniz. Üretim iş yükleri için bir küme ayarlanıyorsa okumaya devam edin.

Küme ve sunucu sertifikası (gerekli)

Bu sertifika, kümenin güvenliğini sağlamak ve kümeye yetkisiz erişimi önlemek için gereklidir. Küme güvenliğini birkaç yolla sağlar:

  • Küme kimlik doğrulaması: Küme federasyonu için düğümden düğüme iletişimin kimliğini doğrular. Yalnızca bu sertifikayla kimliklerini kanıtlayabilen düğümler kümeye katılabilir.
  • Sunucu kimlik doğrulaması: Yönetim istemcisinin gerçek kümeyle konuştuğunu bilmesi için küme yönetim uç noktalarının kimliğini bir yönetim istemcisine doğrular. Bu sertifika ayrıca HTTPS yönetim API'sine ve HTTPS üzerinden Service Fabric Explorer'a yönelik TLS sağlar.

Bu amaçlara hizmet etmek için sertifikanın aşağıdaki gereksinimleri karşılaması gerekir:

  • Sertifika bir özel anahtar içermelidir.
  • Sertifika, kişisel bilgi değişimi (.pfx) dosyasına aktarılabilen anahtar değişimi için oluşturulmalıdır.
  • Sertifikanın konu adı, Service Fabric kümesine erişmek için kullanılan etki alanıyla eşleşmelidir. Bu, kümenin HTTPS yönetim uç noktaları ve Service Fabric Explorer için TLS sağlamak için gereklidir. Etki alanı için .cloudapp.azure.com bir sertifika yetkilisinden (CA) TLS/SSL sertifikası alamazsınız. Kümeniz için özel bir etki alanı adı alın. Ca'dan sertifika istediğinizde sertifikanın konu adı kümeniz için kullanılan özel etki alanı adıyla eşleşmelidir.
  • Sertifikanın DNS adları listesinde kümenin Tam Etki Alanı Adı (FQDN) bulunmalıdır.

İstemci kimlik doğrulama sertifikaları

Ek istemci sertifikaları, küme yönetim görevleri için yöneticilerin kimliğini doğrular. Service Fabric'in iki erişim düzeyi vardır: yönetici ve salt okunur kullanıcı. En azından, yönetim erişimi için tek bir sertifika kullanılmalıdır. Kullanıcı düzeyinde ek erişim için ayrı bir sertifika sağlanmalıdır. Erişim rolleri hakkında daha fazla bilgi için bkz . Service Fabric istemcileri için rol tabanlı erişim denetimi.

Service Fabric ile çalışmak için İstemci kimlik doğrulama sertifikalarını Key Vault'a yüklemeniz gerekmez. Bu sertifikaların yalnızca küme yönetimi için yetkilendirilmiş kullanıcılara sağlanması gerekir.

Dekont

Microsoft Entra Id, küme yönetimi işlemleri için istemcilerin kimliğini doğrulamanın önerilen yoludur. Microsoft Entra Kimliğini kullanmak için Azure Resource Manager kullanarak bir küme oluşturmanız gerekir.

Uygulama sertifikaları (isteğe bağlı)

Uygulama güvenliği amacıyla kümeye herhangi bir sayıda ek sertifika yüklenebilir. Kümenizi oluşturmadan önce, düğümlere bir sertifikanın yüklenmesini gerektiren uygulama güvenlik senaryolarını göz önünde bulundurun, örneğin:

  • Uygulama yapılandırma değerlerini şifreleme ve şifre çözme
  • Çoğaltma sırasında düğümler arasında veri şifreleme

Azure portalı üzerinden küme oluşturulurken uygulama sertifikaları yapılandırılamaz. Uygulama sertifikalarını küme kurulum zamanında yapılandırmak için Azure Resource Manager'ı kullanarak bir küme oluşturmanız gerekir. Ayrıca, oluşturulduktan sonra kümeye uygulama sertifikaları da ekleyebilirsiniz.

Azure portalında küme oluşturma

Uygulama gereksinimlerinizi karşılayacak bir üretim kümesi oluşturmak için biraz planlama yapılması gerekir. Bu durumda size yardımcı olması için Service Fabric Kümesi planlama konuları belgesini okumanız ve anlamanız kesinlikle önerilir.

Service Fabric küme kaynağını arama

Azure Portal oturum açın. Yeni kaynak şablonu eklemek için Kaynak oluştur'a tıklayın. Market'te Her Şey'in altında Service Fabric Kümesi şablonunu arayın. Listeden Service Fabric Kümesi'ni seçin.

search for Service Fabric cluster template on the Azure portal.

Service Fabric Kümesi dikey penceresine gidin ve Oluştur'a tıklayın.

Service Fabric kümesi oluştur dikey penceresinde aşağıdaki dört adım bulunur:

1. Temel Bilgiler

Screenshot of creating a new resource group.

Temel Bilgiler dikey penceresinde kümenizin temel ayrıntılarını sağlamanız gerekir.

  1. Kümenizin adını girin.

  2. VM'ler için Uzak Masaüstü için bir Kullanıcı adı ve Parola girin.

  3. Özellikle birden çok aboneliğiniz varsa kümenizin dağıtılmasını istediğiniz Aboneliği seçtiğinizden emin olun.

  4. Yeni bir Kaynak grubu oluşturun. Özellikle dağıtımınızda değişiklik yapmaya veya kümenizi silmeye çalışırken kümeyi daha sonra bulmanıza yardımcı olduğundan kümeyle aynı adı vermek en iyisidir.

    Dekont

    Mevcut bir kaynak grubunu kullanmaya karar verseniz de, yeni bir kaynak grubu oluşturmak iyi bir uygulamadır. Bu, kümeleri ve kullandığı tüm kaynakları silmeyi kolaylaştırır.

  5. Kümeyi oluşturmak istediğiniz Konumu seçin. Zaten bir anahtar kasasına yüklediğiniz mevcut bir sertifikayı kullanmayı planlıyorsanız, Anahtar kasanızın bulunduğu bölgeyi kullanmanız gerekir.

2. Küme yapılandırması

Create a node type

Küme düğümlerinizi yapılandırın. Düğüm türleri VM boyutlarını, VM sayısını ve bunların özelliklerini tanımlar. Kümenizin birden fazla düğüm türü olabilir, ancak birincil düğüm türünün (portalda tanımladığınız ilk düğüm) en az beş VM'ye sahip olması gerekir; bu, Service Fabric sistem hizmetlerinin yerleştirildiği düğüm türüdür. "NodeTypeName" öğesinin varsayılan yerleştirme özelliği otomatik olarak eklendiğinden Yerleştirme Özellikleri'ni yapılandırmayın.

Dekont

Birden çok düğüm türü için yaygın bir senaryo, ön uç hizmeti ve arka uç hizmeti içeren bir uygulamadır. Ön uç hizmetini İnternet'e açık bağlantı noktaları olan daha küçük VM'lere (D2_V2 gibi VM boyutları) yerleştirmek ve arka uç hizmetini İnternet'e yönelik bağlantı noktaları açık olmayan daha büyük VM'lere (D3_V2, D6_V2, D15_V2 vb.) yerleştirmek istiyorsunuz.

  1. Düğüm türünüz için bir ad seçin (yalnızca harf ve sayı içeren 1 -12 karakter).
  2. Birincil düğüm türü için en düşük VM boyutu, küme için seçtiğiniz Dayanıklılık katmanı tarafından yönlendirilir. Dayanıklılık katmanı için varsayılan ayar bronzdur. Dayanıklılık hakkında daha fazla bilgi için bkz . Service Fabric kümesi dayanıklılığını seçme.
  3. Sanal makine boyutunu seçin. D serisi VM'lerin SSD sürücüleri vardır ve durum bilgisi olan uygulamalar için kesinlikle önerilir. Kısmi çekirdekleri olan veya 10 GB'tan az kullanılabilir disk kapasitesine sahip vm SKU'su kullanmayın. VM boyutunu seçme konusunda yardım için service fabric kümesi planlamasında dikkat edilmesi gerekenler belgesine bakın.
  4. Tek düğüm kümesi ve üç düğüm kümesi yalnızca test amaçlı kullanım içindir. Çalışan üretim iş yükleri için desteklenmez.
  5. Düğüm türü için İlk sanal makine ölçek kümesi kapasitesini seçin. Daha sonra bir düğüm türündeki VM'lerin ölçeğini daraltabilir veya genişletebilirsiniz, ancak birincil düğüm türünde üretim iş yükleri için minimum beştir. Diğer düğüm türleri en az bir VM'ye sahip olabilir. Birincil düğüm türü için en düşük VM sayısı, kümenizin güvenilirliğini sağlar.
  6. Özel uç noktaları yapılandırın. Bu alan, Azure Load Balancer aracılığıyla uygulamalarınız için genel İnternet'te kullanıma açmak istediğiniz bağlantı noktalarının virgülle ayrılmış bir listesini girmenizi sağlar. Örneğin, kümenize bir web uygulaması dağıtmayı planlıyorsanız, kümenize 80 numaralı bağlantı noktasındaki trafiğe izin vermek için buraya "80" girin. Uç noktalar hakkında daha fazla bilgi için bkz. Uygulamalarla iletişim kurma
  7. Ters ara sunucuyu etkinleştirin. Service Fabric ters ara sunucusu, Service Fabric kümesinde çalışan mikro hizmetlerin http uç noktaları olan diğer hizmetleri bulmasına ve bunlarla iletişim kurmalarına yardımcı olur.
  8. Küme yapılandırması dikey penceresindeki +İsteğe bağlı ayarları göster altında küme tanılamasını yapılandırın. Tanılama, sorun gidermeye yardımcı olmak için kümenizde varsayılan olarak etkinleştirilir. Tanılamayı devre dışı bırakmak istiyorsanız Durum iki durumlu düğmesini Kapalı olarak değiştirin. Tanılamanın kapatılması önerilmez. Application Analizler projeniz zaten oluşturulduysa, uygulama izlemelerinin ona yönlendirilmiş olması için anahtarını verin.
  9. DNS hizmetini dahil edin. DNS hizmeti, DNS protokolunu kullanarak diğer hizmetleri bulmanıza olanak tanıyan isteğe bağlı bir hizmet.
  10. Kümenizi ayarlamak istediğiniz Doku yükseltme modunu seçin. Sistemin en son kullanılabilir sürümü otomatik olarak almasını ve kümenizi bu sürüme yükseltmeyi denemesini istiyorsanız Otomatik'i seçin. Desteklenen bir sürüm seçmek istiyorsanız modu El ile olarak ayarlayın. Doku yükseltme modu hakkında daha fazla ayrıntı için Service Fabric Kümesi Yükseltme belgesine bakın .

Dekont

Yalnızca Service Fabric'in desteklenen sürümlerini çalıştıran kümeleri destekliyoruz. El ile modunu seçerek kümenizi desteklenen bir sürüme yükseltme sorumluluğunu üstlenirsiniz.

3. Güvenlik

Screenshot of security configurations on Azure portal.

Güvenli bir test kümesi ayarlamayı sizin için kolaylaştırmak için Temel seçeneğini sağladık. Zaten bir sertifikanız varsa ve sertifikayı anahtar kasanıza yüklediyseniz (ve anahtar kasasını dağıtım için etkinleştirdiyseniz) Özel seçeneğini kullanın

Temel Seçenek

Mevcut bir anahtar kasası eklemek veya yeniden kullanmak ve sertifika eklemek için ekranları izleyin. Sertifikanın eklenmesi zaman uyumlu bir işlemdir ve bu nedenle sertifikanın oluşturulmasını beklemeniz gerekir.

Önceki işlem tamamlanana kadar ekrandan uzaklaşmanın cazibesine karşı direnin.

Screenshot shows the Security page with Basic selected with the Key vault pane and Create key vault pane.

Anahtar kasası oluşturulduğuna göre, anahtar kasanız için erişim ilkelerini düzenleyin.

Screenshot shows the Create Service Fabric cluster pane with option 3 Security selected and an explanation that the key vault is not enabled.

Erişim ilkelerini düzenle'ye, ardından Gelişmiş erişim ilkelerini göster'e tıklayın ve dağıtım için Azure Sanal Makineler erişimi etkinleştirin. Şablon dağıtımını da etkinleştirmeniz önerilir. Seçimlerinizi yaptıktan sonra Kaydet düğmesine tıklayıp Erişim ilkeleri bölmesini kapatmayı unutmayın.

Screenshot shows the Create Service Fabric cluster pane with the Security pane open and the Access policies pane open.

Sertifikanın adını girin ve Tamam'a tıklayın.

Screenshot shows the Create Service Fabric cluster pane with Security selected as before but without the explanation that the key vault is not enabled.

Özel Seçenek

Temel Seçenek'teki adımları zaten gerçekleştirdiyseniz bu bölümü atlayın.

Screenshot shows the Security Configure cluster security settings dialog box.

Güvenlik sayfasını tamamlamak için Kaynak anahtar kasası, Sertifika URL'si ve Sertifika parmak izi bilgileri gerekir. Kullanışlı değilse, başka bir tarayıcı penceresi açın ve Azure portalında aşağıdakileri yapın

  1. Anahtar kasası hizmetinize gidin.

  2. "Özellikler" sekmesini seçin ve diğer tarayıcı penceresindeki "KAYNAK KIMLIĞI" öğesini "Kaynak anahtar kasasına" kopyalayın

    Screenshot shows the Properties window for the key vault.

  3. Şimdi "Sertifikalar" sekmesini seçin.

  4. Sizi Sürümler sayfasına götüren sertifika parmak izine tıklayın.

  5. Geçerli Sürüm altında gördüğünüz GUID'lere tıklayın.

    Screenshot shows the Certificate window for the key vault

  6. Şimdi aşağıdaki gibi ekranda olmanız gerekir. Diğer tarayıcı penceresinde onaltılık SHA-1 Parmak izini "Sertifika parmak izi" olarak kopyalayın

  7. 'Gizli Dizi Tanımlayıcısı'nı diğer tarayıcı penceresindeki "Sertifika URL'sine" kopyalayın.

    Screenshot shows the Certificate Version dialog box with an option to copy the Certificate Identifier.

Yönetici istemcisi ve salt okunur istemci için istemci sertifikaları girmek için Gelişmiş ayarları yapılandır kutusunu işaretleyin. Bu alanlara yönetici istemci sertifikanızın parmak izini ve varsa salt okunur kullanıcı istemci sertifikanızın parmak izini girin. Yöneticiler kümeye bağlanmaya çalıştığında, yalnızca buraya girilen parmak izi değerleriyle eşleşen parmak izi olan bir sertifikaya sahip olmaları durumunda erişim verilir.

4. Özet

Artık kümeyi dağıtmaya hazırsınız. Bunu gerçekleştirmeden önce sertifikayı indirin, bağlantının büyük mavi bilgi kutusunun içine bakın. Sertifikayı güvenli bir yerde tuttuğunuzdan emin olun. kümenize bağlanmak için buna ihtiyacınız vardır. İndirdiğiniz sertifikanın parolası olmadığından, bir parola eklemeniz tavsiye edilir.

Küme oluşturmayı tamamlamak için Oluştur'a tıklayın. İsterseniz şablonu indirebilirsiniz.

Screenshot shows the Create Service Fabric cluster Summary page with a link to view and download a certificate.

Oluşturma işleminin ilerleme durumunu bildirimler bölümünden görebilirsiniz. (Ekranınızın sağ üst kısmındaki durum çubuğunun yanındaki "Zil" simgesine tıklayın.) Kümeyi oluştururken Başlangıç Panosuna Sabitle'ye tıkladıysanız, Başlangıç panosuna sabitlenmiş Service Fabric Kümesini Dağıtma'yı görürsünüz. Bu işlem biraz zaman alacaktır.

PowerShell veya CLI kullanarak kümenizde yönetim işlemleri gerçekleştirmek için kümenize bağlanmanız gerekir ve kümenize bağlanma konusunda daha fazla bilgi edinin.

Küme durumunuzu görüntüleme

Screenshot of cluster details in the dashboard.

Kümeniz oluşturulduktan sonra portalda kümenizi inceleyebilirsiniz:

  1. Gözat'a gidin ve Service Fabric Kümeleri'ne tıklayın.
  2. Kümenizi bulun ve tıklayın.
  3. Kümenin genel uç noktası ve bir Service Fabric Explorer bağlantısıyla birlikte kümenizin ayrıntılarını panoda görebilirsiniz.

Kümenin pano dikey penceresindeki Düğüm İzleyicisi bölümü, iyi durumda olan ve iyi durumda olmayan VM sayısını gösterir. Kümenin durumu hakkında daha fazla ayrıntıyı Service Fabric sistem durumu modeline giriş bölümünde bulabilirsiniz.

Dekont

Service Fabric kümeleri, kullanılabilirliği korumak ve durumu korumak için belirli sayıda düğümün her zaman çalışır durumda olmasını gerektirir. "çekirdek bakımı" olarak adlandırılır. Bu nedenle, durumunuzun tam yedeklemesini ilk kez gerçekleştirmediğiniz sürece kümedeki tüm makineleri kapatmak genellikle güvenli değildir.

Sanal Makine Ölçek Kümesi örneğine veya küme düğümüne uzaktan bağlanma

Kümenizde belirttiğiniz NodeType'ların her biri bir Sanal Makine Ölçek Kümesi'nin ayarlanmasıyla sonuçlanıyor.

Sonraki adımlar

Bu noktada, yönetim kimlik doğrulaması için sertifikaları kullanan güvenli bir kümeniz vardır. Ardından kümenize bağlanın ve uygulama gizli dizilerini yönetmeyi öğrenin. Ayrıca Service Fabric destek seçenekleri hakkında bilgi edinin.