Omówienie klastrów autonomicznych usługi Service Fabric
Klaster usługi Service Fabric jest połączonym z siecią zestawem maszyn wirtualnych lub fizycznych, w którym wdraża się mikrousługi i nimi zarządza. Maszyna lub maszyna wirtualna, która jest częścią klastra, jest nazywana węzłem klastra. Klastry mogą być skalowane do tysięcy węzłów. W przypadku dodawania nowych węzłów do klastra usługa Service Fabric ponownie równoważy repliki partycji usługi i wystąpienia w zwiększonej liczbie węzłów. Ogólna wydajność aplikacji poprawia się i rywalizacja o dostęp do pamięci zmniejsza się. Jeśli węzły w klastrze nie są używane wydajnie, możesz zmniejszyć liczbę węzłów w klastrze. Usługa Service Fabric ponownie ponownie równoważy repliki partycji i wystąpienia w zmniejszonej liczbie węzłów, aby lepiej wykorzystać sprzęt w każdym węźle.
Typ węzła definiuje rozmiar, liczbę i właściwości zestawu węzłów w klastrze. Następnie każdy typ węzła może być niezależnie skalowany w górę lub w dół oraz może mieć różne zestawy otwartych portów i różne metryki pojemności. Typy węzłów służą do definiowania ról zestawu węzłów klastra, takich jak „fronton” lub „zaplecze”. Klaster może mieć więcej niż jeden typ węzła, ale podstawowy typ węzła musi obejmować co najmniej pięć maszyn wirtualnych w przypadku klastrów produkcyjnych (lub co najmniej trzy maszyny wirtualne w przypadku klastrów testowych). Usługi systemowe Service Fabric są umieszczane w węzłach podstawowego typu.
Proces tworzenia klastra usługi Service Fabric lokalnie jest podobny do procesu tworzenia klastra w dowolnej wybranej chmurze z zestawem maszyn wirtualnych. Początkowe kroki aprowizowania maszyn wirtualnych podlegają dostawcy usług w chmurze lub środowisku lokalnym, którego używasz. Po włączeniu między nimi zestawu maszyn wirtualnych z włączoną łącznością sieciową kroki konfigurowania pakietu usługi Service Fabric, edytowania ustawień klastra i uruchamiania skryptów tworzenia klastra i zarządzania są identyczne. Dzięki temu twoja wiedza i doświadczenie w obsłudze klastrów usługi Service Fabric oraz zarządzanie nimi można przenosić, gdy zdecydujesz się kierować do nowych środowisk hostingu.
Zabezpieczenia klastra
Klaster usługi Service Fabric to zasób, którego jesteś właścicielem. Twoim zadaniem jest zabezpieczenie klastrów, aby uniemożliwić nieautoryzowanym użytkownikom łączenie się z nimi. Bezpieczny klaster jest szczególnie ważny w przypadku uruchamiania obciążeń produkcyjnych w klastrze.
Uwaga
Uwierzytelnianie systemu Windows jest oparte na protokole Kerberos. Protokół NTLM nie jest obsługiwany jako typ uwierzytelniania.
Jeśli to możliwe, użyj uwierzytelniania certyfikatu X.509 dla klastrów usługi Service Fabric.
Zabezpieczenia węzła-węzła
Zabezpieczenia między węzłami zabezpieczają komunikację między maszynami wirtualnymi lub komputerami w klastrze. Ten scenariusz zabezpieczeń gwarantuje, że tylko komputery, które są autoryzowane do dołączenia do klastra, mogą uczestniczyć w hostowanie aplikacji i usług w klastrze. Usługa Service Fabric używa certyfikatów X.509 do zabezpieczania klastra i zapewniania funkcji zabezpieczeń aplikacji. Certyfikat klastra jest wymagany do zabezpieczenia ruchu klastra i zapewnienia uwierzytelniania klastra i serwera. Certyfikaty z podpisem własnym mogą służyć do testowania klastrów, ale certyfikat z zaufanego urzędu certyfikacji powinien być używany do zabezpieczania klastrów produkcyjnych.
Zabezpieczenia systemu Windows można również włączyć dla klastra autonomicznego systemu Windows. Jeśli masz systemy Windows Server 2012 R2 i Windows Active Directory, zalecamy używanie zabezpieczeń systemu Windows z kontami usług zarządzanych przez grupę. W przeciwnym razie użyj zabezpieczeń systemu Windows z kontami systemu Windows.
Aby uzyskać więcej informacji, zobacz Zabezpieczenia węzła do węzła
Zabezpieczenia klient-węzeł
Zabezpieczenia klient-węzeł uwierzytelniają klientów i pomagają zabezpieczyć komunikację między klientem a poszczególnymi węzłami w klastrze. Ten typ zabezpieczeń pomaga zagwarantować, że tylko autoryzowani użytkownicy będą mogli uzyskiwać dostęp do klastra i aplikacji wdrożonych w klastrze. Klienci są jednoznacznie identyfikowani za pomocą poświadczeń zabezpieczeń certyfikatu X.509. Dowolna liczba opcjonalnych certyfikatów klienta może służyć do uwierzytelniania klientów administracyjnych lub użytkowników w klastrze.
Oprócz certyfikatów klienta identyfikator Entra firmy Microsoft można również skonfigurować do uwierzytelniania klientów w klastrze.
Aby uzyskać więcej informacji, przeczytaj zabezpieczenia klient-węzeł
Kontrola dostępu oparta na rolach usługi Service Fabric
Usługa Service Fabric obsługuje również kontrolę dostępu w celu ograniczenia dostępu do niektórych operacji klastra dla różnych grup użytkowników. Pomaga to zwiększyć bezpieczeństwo klastra. W przypadku klientów łączących się z klastrem są obsługiwane dwa typy kontroli dostępu: rola administratora i rola użytkownika.
Aby uzyskać więcej informacji, przeczytaj Service Fabric role-based access control (Kontrola dostępu oparta na rolach usługi Service Fabric).
Skalowanie
Zapotrzebowanie na aplikację zmienia się w czasie. Może być konieczne zwiększenie zasobów klastra w celu spełnienia zwiększonego obciążenia aplikacji lub ruchu sieciowego lub zmniejszenia zasobów klastra, gdy zapotrzebowanie spadnie. Po utworzeniu klastra usługi Service Fabric można skalować klaster w poziomie (zmienić liczbę węzłów) lub pionowo (zmienić zasoby węzłów). Klaster można skalować w dowolnym momencie nawet wtedy, gdy obciążenia są uruchomione w klastrze. W miarę skalowania klastra aplikacje są również automatycznie skalowane.
Aby uzyskać więcej informacji, przeczytaj Scaling standalone clusters (Skalowanie klastrów autonomicznych).
Uaktualnianie
Autonomiczny klaster to zasób, którego jesteś właścicielem. Odpowiadasz za stosowanie poprawek do bazowego systemu operacyjnego i inicjowanie uaktualnień sieci szkieletowej. Klaster można ustawić tak, aby otrzymywał automatyczne uaktualnienia środowiska uruchomieniowego, gdy firma Microsoft wyda nową wersję, lub wybrać odpowiednią obsługiwaną wersję środowiska uruchomieniowego. Oprócz uaktualnień sieci szkieletowej można również zastosować poprawki systemu operacyjnego i zaktualizować konfigurację klastra, taką jak certyfikaty lub porty aplikacji.
Aby uzyskać więcej informacji, zobacz Uaktualnianie klastrów autonomicznych.
Obsługiwane systemy operacyjne
Możesz tworzyć klastry na maszynach wirtualnych lub komputerach z tymi systemami operacyjnymi (system Linux nie jest jeszcze obsługiwany):
- Windows Server 2012 z dodatkiem R2
- Windows Server 2016
- Windows Server 2019
Następne kroki
Przeczytaj więcej na temat zabezpieczania, skalowania i uaktualniania klastrów autonomicznych.
Dowiedz się więcej o opcjach pomocy technicznej usługi Service Fabric.