Sdílet prostřednictvím

Nasazení clusteru Service Fabric ve službě Azure Stack Hub

  • Článek

Pomocí položky Cluster Service Fabric z Azure Marketplace nasaďte zabezpečený cluster Service Fabric ve službě Azure Stack Hub.

Další informace o práci se Service Fabric najdete v tématu Přehled scénářů zabezpečení clusteruAzure Service Fabric a Service Fabric v dokumentaci k Azure.

Cluster Service Fabric ve službě Azure Stack Hub nepoužívá poskytovatele prostředků Microsoft.ServiceFabric. Místo toho je cluster Service Fabric ve službě Azure Stack Hub škálovací sada virtuálních počítačů s předinstalovaným softwarem pomocí Desired State Configuration (DSC).

Požadavky

K nasazení clusteru Service Fabric se vyžadují následující:

  1. Certifikát clusteru
    Jedná se o certifikát serveru X.509, který přidáte do Key Vault při nasazování Service Fabric.

    • Název CN tohoto certifikátu se musí shodovat s plně kvalifikovaným názvem domény clusteru Service Fabric, který vytvoříte.

    • Certifikát musí mít formát PFX, protože se vyžaduje veřejný i privátní klíč. Projděte si požadavky na vytvoření tohoto certifikátu na straně serveru.

      Poznámka

      Certifikát podepsaný svým držitelem můžete použít místo certifikátu serveru X.509 pro účely testování. Certifikáty podepsané svým držitelem nemusí odpovídat plně kvalifikovanému názvu domény clusteru.

  2. Správa Klientský certifikát
    Jedná se o certifikát, který klient používá k ověření v clusteru Service Fabric, který může být podepsaný svým držitelem. Projděte si požadavky na vytvoření tohoto klientského certifikátu.

  3. Na marketplace služby Azure Stack Hub musí být k dispozici následující položky:

    • Windows Server 2016 – Šablona použije k vytvoření clusteru image Windows Server 2016.
    • Rozšíření vlastních skriptů – Rozšíření virtuálního počítače od Microsoftu.
    • Konfigurace požadované fáze PowerShellu – Rozšíření virtuálního počítače od Microsoftu

Přidání tajného klíče do služby Key Vault

Pokud chcete nasadit cluster Service Fabric, musíte zadat správný identifikátor tajného kódu nebo adresu URL Key Vault pro cluster Service Fabric. Šablona Azure Resource Manager přijímá jako vstup Key Vault. Šablona pak při instalaci clusteru Service Fabric načte certifikát clusteru.

Důležité

K přidání tajného kódu do Key Vault pro použití se Service Fabric musíte použít PowerShell. Nepoužívejte portál.

Pomocí následujícího skriptu vytvořte Key Vault a přidejte do něj certifikát clusteru. (Viz požadavky.) Před spuštěním skriptu si prohlédněte ukázkový skript a aktualizujte uvedené parametry tak, aby odpovídaly vašemu prostředí. Tento skript také vypíše hodnoty, které potřebujete zadat šabloně Azure Resource Manager.

Tip

Aby skript mohl proběhnout úspěšně, musí existovat veřejná nabídka, která zahrnuje služby pro výpočty, síť, úložiště a Key Vault.

   function Get-ThumbprintFromPfx($PfxFilePath, $Password) 
      {
         return New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($PfxFilePath, $Password)
      }
   
   function Publish-SecretToKeyVault ($PfxFilePath, $Password, $KeyVaultName)
      {
         $keyVaultSecretName = "ClusterCertificate"
         $certContentInBytes = [io.file]::ReadAllBytes($PfxFilePath)
         $pfxAsBase64EncodedString = [System.Convert]::ToBase64String($certContentInBytes)
   
         $jsonObject = ConvertTo-Json -Depth 10 ([pscustomobject]@{
               data     = $pfxAsBase64EncodedString
               dataType = 'pfx'
               password = $Password
         })
   
         $jsonObjectBytes = [System.Text.Encoding]::UTF8.GetBytes($jsonObject)
         $jsonEncoded = [System.Convert]::ToBase64String($jsonObjectBytes)
         $secret = ConvertTo-SecureString -String $jsonEncoded -AsPlainText -Force
         $keyVaultSecret = Set-AzureKeyVaultSecret -VaultName $KeyVaultName -Name $keyVaultSecretName -SecretValue $secret
         
         $pfxCertObject = Get-ThumbprintFromPfx -PfxFilePath $PfxFilePath -Password $Password
   
         Write-Host "KeyVault id: " -ForegroundColor Green
         (Get-AzKeyVault -VaultName $KeyVaultName).ResourceId
         
         Write-Host "Secret Id: " -ForegroundColor Green
         (Get-AzureKeyVaultSecret -VaultName $KeyVaultName -Name $keyVaultSecretName).id
   
         Write-Host "Cluster Certificate Thumbprint: " -ForegroundColor Green
         $pfxCertObject.Thumbprint
      }
   
   #========================== CHANGE THESE VALUES ===============================
   $armEndpoint = "https://management.local.azurestack.external"
   $tenantId = "your_tenant_ID"
   $location = "local"
   $clusterCertPfxPath = "Your_path_to_ClusterCert.pfx"
   $clusterCertPfxPassword = "Your_password_for_ClusterCert.pfx"
   #==============================================================================
   
   Add-AzEnvironment -Name AzureStack -ARMEndpoint $armEndpoint
   Connect-AzAccount -Environment AzureStack -TenantId $tenantId
   
   $rgName = "sfvaultrg"
   Write-Host "Creating Resource Group..." -ForegroundColor Yellow
   New-AzResourceGroup -Name $rgName -Location $location
   
   Write-Host "Creating Key Vault..." -ForegroundColor Yellow
   $Vault = New-AzKeyVault -VaultName sfvault -ResourceGroupName $rgName -Location $location -EnabledForTemplateDeployment -EnabledForDeployment -EnabledForDiskEncryption
   
   Write-Host "Publishing certificate to Vault..." -ForegroundColor Yellow
   Publish-SecretToKeyVault -PfxFilePath $clusterCertPfxPath -Password $clusterCertPfxPassword -KeyVaultName $vault.VaultName

Další informace najdete v tématu Správa Key Vault ve službě Azure Stack Hub pomocí PowerShellu.

Nasazení položky Marketplace

  1. Na portálu User Portal přejděte na + Vytvořit prostředek>– Výpočetní cluster>Service Fabric.

    Výběr clusteru Service Fabric

  2. Pro každou stránku, například Základy, vyplňte formulář nasazení. Pokud si nejste jistí nějakou hodnotou, použijte výchozí hodnoty.

    V případě nasazení do odpojené služby Azure Stack Hub nebo nasazení jiné verze Service Fabric si stáhněte balíček pro nasazení Service Fabric a odpovídající balíček modulu runtime a hostujte ho v objektu blob služby Azure Stack Hub. Tyto hodnoty zadejte do polí Adresa URL balíčku nasazení Service Fabric a Adresa URL balíčku modulu runtime Service Fabric .

    Poznámka

    Mezi nejnovější verzí Service Fabric a odpovídající sadou SDK dochází k problémům s kompatibilitou. Dokud se tento problém nevyřeší, zadejte následující parametry pro adresu URL balíčku nasazení a adresu URL balíčku modulu runtime. Jinak vaše nasazení selžou.

    V případě odpojených nasazení si tyto balíčky stáhněte ze zadaného umístění a hostujte je místně v objektu blob služby Azure Stack Hub.

    Základy

  3. Na stránce Nastavení sítě můžete zadat konkrétní porty, které se mají otevřít pro vaše aplikace:

    Nastavení sítě

  4. Na stránce Zabezpečení přidejte hodnoty, které jste získali při vytvoření Key Vault Azure a nahrání tajného kódu.

    Jako kryptografický otisk klientského certifikátu Správa zadejte kryptografický otisk klientského certifikátu Správa. (Viz požadavky.)

    • Zdrojová Key Vault: Zadejte celý keyVault id řetězec z výsledků skriptu.
    • Adresa URL certifikátu clusteru: Zadejte celou adresu URL z Secret Id výsledků skriptu.
    • Kryptografický otisk certifikátu clusteru: Zadejte kryptografický otisk certifikátu clusteru z výsledků skriptu.
    • Adresa URL certifikátu serveru: Pokud chcete použít samostatný certifikát než certifikát clusteru, nahrajte certifikát do trezoru klíčů a zadejte úplnou adresu URL tajného klíče.
    • Kryptografický otisk certifikátu serveru: Zadejte kryptografický otisk certifikátu serveru.
    • kryptografické otisky Správa klientského certifikátu: Zadejte kryptografický otisk klientského certifikátu Správa vytvořený v požadavcích.

    Výstup skriptu

    Zabezpečení

  5. Dokončete průvodce a pak výběrem možnosti Vytvořit nasaďte cluster Service Fabric.

Přístup ke clusteru Service Fabric

Ke clusteru Service Fabric můžete přistupovat pomocí Service Fabric Explorer nebo Service Fabric PowerShellu.

Použití Service Fabric Explorer

  1. Ujistěte se, že prohlížeč má přístup k vašemu Správa klientskému certifikátu a může se ověřit ve vašem clusteru Service Fabric.

    a. Otevřete Internet Explorer a přejděte na Možnosti Internetu>– Certifikátyobsahu>.

    b. V části Certifikáty vyberte Importovat , spusťte Průvodce importem certifikátu a pak klikněte na Další. Na stránce Soubor k importu klikněte na Procházet a vyberte certifikát klienta Správa, který jste poskytli šabloně Azure Resource Manager.

    Poznámka

    Tento certifikát není certifikát clusteru, který byl dříve přidán do Key Vault.

    c. Ujistěte se, že máte v rozevíracím seznamu rozšíření v okně Průzkumník souborů vybranou možnost Personal Information Exchange.

    Výměna osobních údajů

    d. Na stránce Úložiště certifikátů vyberte Osobní a pak dokončete průvodce.
    Úložiště certifikátů

  2. Vyhledání plně kvalifikovaného názvu domény clusteru Service Fabric:

    a. Přejděte do skupiny prostředků, která je přidružená k vašemu clusteru Service Fabric, a vyhledejte prostředek veřejná IP adresa . Výběrem objektu přidruženého k veřejné IP adrese otevřete okno Veřejná IP adresa .

    Veřejná IP adresa

    b. V okně Veřejná IP adresa se plně kvalifikovaný název domény zobrazí jako název DNS.

    Název DNS

  3. Pokud chcete najít adresu URL Service Fabric Explorer a koncový bod připojení klienta, projděte si výsledky nasazení šablony.

  4. V prohlížeči přejděte na https://*FQDN*:19080. Plně kvalifikovaný název domény nahraďte plně kvalifikovaným názvem domény vašeho clusteru Service Fabric z kroku 2.
    Pokud jste použili certifikát podepsaný svým držitelem, zobrazí se upozornění, že připojení není zabezpečené. Pokud chcete pokračovat na web, vyberte Další informace a pak Přejděte na webovou stránku.

  5. Chcete-li provést ověření v lokalitě, musíte vybrat certifikát, který chcete použít. Vyberte Další možnosti, vyberte příslušný certifikát a pak se kliknutím na OK připojte k Service Fabric Explorer.

    Ověření

Použití Prostředí Service Fabric PowerShell

  1. Nainstalujte sadu Microsoft Azure Service Fabric SDK z části Příprava vývojového prostředí ve Windows v dokumentaci ke službě Azure Service Fabric.

  2. Po dokončení instalace nakonfigurujte proměnné prostředí systému, abyste zajistili, že rutiny Service Fabric budou přístupné z PowerShellu.

    a. Přejděte na Ovládací panely>Systém a systém zabezpečení> a vyberte Upřesnit nastavení systému.

    Ovládací panel

    b. Na kartě Upřesnit v části Vlastnosti systému vyberte Proměnné prostředí.

    c. V části Systémové proměnné upravte cestu a ujistěte se, že C:\Program Files\Microsoft Service Fabric\bin\Fabric.Code je na začátku seznamu proměnných prostředí.

    Seznam proměnných prostředí

  3. Po změně pořadí proměnných prostředí restartujte PowerShell a pak spusťte následující skript PowerShellu, abyste získali přístup ke clusteru Service Fabric:

     Connect-ServiceFabricCluster -ConnectionEndpoint "\[Service Fabric
 CLUSTER FQDN\]:19000" \`

 -X509Credential -ServerCertThumbprint
 761A0D17B030723A37AA2E08225CD7EA8BE9F86A \`

 -FindType FindByThumbprint -FindValue
 0272251171BA32CEC7938A65B8A6A553AA2D3283 \`

 -StoreLocation CurrentUser -StoreName My -Verbose

    Poznámka

    Před názvem clusteru ve skriptu není žádná https:// . Vyžaduje se port 19000.

Další kroky

Nasazení Kubernetes do služby Azure Stack Hub