Udostępnij za pośrednictwem

Tworzenie klastra usługi Service Fabric na platformie Azure przy użyciu witryny Azure Portal

  • Artykuł

Ten artykuł jest przewodnikiem krok po kroku, który przeprowadzi Cię przez kroki konfigurowania klastra usługi Service Fabric (Linux lub Windows) na platformie Azure przy użyciu witryny Azure Portal. Ten przewodnik przeprowadzi Cię przez następujące kroki:

  • Tworzenie klastra na platformie Azure za pośrednictwem witryny Azure Portal.
  • Uwierzytelnianie administratorów przy użyciu certyfikatów.

Uwaga

Aby uzyskać bardziej zaawansowane opcje zabezpieczeń, takie jak uwierzytelnianie użytkowników za pomocą identyfikatora Entra firmy Microsoft i konfigurowanie certyfikatów na potrzeby zabezpieczeń aplikacji, utwórz klaster przy użyciu usługi Azure Resource Manager.

Zabezpieczenia klastra

W usłudze Service Fabric używa się certyfikatów, aby zapewniać uwierzytelnianie i szyfrowanie w celu zabezpieczania różnych aspektów klastra i jego aplikacji. Aby uzyskać więcej informacji o sposobie wykorzystania certyfikatów w usłudze Service Fabric, zobacz Scenariusze zabezpieczeń klastra usługi Service Fabric.

Jeśli po raz pierwszy tworzysz klaster usługi Service Fabric lub wdrażasz klaster na potrzeby obciążeń testowych, możesz przejść do następnej sekcji (Utwórz klaster w witrynie Azure Portal) i wygenerować przez system certyfikaty wymagane dla klastrów, które uruchamiają obciążenia testowe. Jeśli konfigurujesz klaster dla obciążeń produkcyjnych, kontynuuj czytanie.

Certyfikat klastra i serwera (wymagany)

Ten certyfikat jest wymagany do zabezpieczenia klastra i zapobiegania nieautoryzowanemu dostępowi do niego. Zapewnia ona zabezpieczenia klastra na kilka sposobów:

  • Uwierzytelnianie klastra: uwierzytelnia komunikację między węzłami na potrzeby federacji klastra. Tylko węzły, które mogą udowodnić swoją tożsamość za pomocą tego certyfikatu, mogą dołączyć do klastra.
  • Uwierzytelnianie serwera: uwierzytelnia punkty końcowe zarządzania klastrem do klienta zarządzania, aby klient zarządzania wiedział, że rozmawia z rzeczywistym klastrem. Ten certyfikat zapewnia również protokół TLS dla interfejsu API zarządzania HTTPS i dla narzędzia Service Fabric Explorer za pośrednictwem protokołu HTTPS.

Aby obsłużyć te cele, certyfikat musi spełniać następujące wymagania:

  • Certyfikat musi zawierać klucz prywatny.
  • Certyfikat należy utworzyć na potrzeby wymiany kluczy, który można wyeksportować do pliku wymiany informacji osobistych (pfx).
  • Nazwa podmiotu certyfikatu musi być zgodna z domeną używaną do uzyskiwania dostępu do klastra usługi Service Fabric. Jest to wymagane do zapewnienia protokołu TLS dla punktów końcowych zarządzania HTTPS klastra i narzędzia Service Fabric Explorer. Nie można uzyskać certyfikatu TLS/SSL z urzędu certyfikacji dla .cloudapp.azure.com domeny. Uzyskaj niestandardową nazwę domeny dla klastra. W przypadku żądania certyfikatu z urzędu certyfikacji nazwa podmiotu certyfikatu musi być zgodna z niestandardową nazwą domeny używaną dla klastra.
  • Lista nazw DNS certyfikatu musi zawierać w pełni kwalifikowaną nazwę domeny (FQDN) klastra.

Certyfikaty uwierzytelniania klienta

Dodatkowe certyfikaty klienta uwierzytelniają administratorów na potrzeby zadań zarządzania klastrem. Usługa Service Fabric ma dwa poziomy dostępu: administrator i użytkownik tylko do odczytu. Należy użyć co najmniej jednego certyfikatu na potrzeby dostępu administracyjnego. Aby uzyskać dodatkowy dostęp na poziomie użytkownika, należy podać oddzielny certyfikat. Aby uzyskać więcej informacji na temat ról dostępu, zobacz Kontrola dostępu oparta na rolach dla klientów usługi Service Fabric.

Nie musisz przekazywać certyfikatów uwierzytelniania klienta do usługi Key Vault, aby pracować z usługą Service Fabric. Te certyfikaty muszą być udostępniane tylko użytkownikom, którzy są autoryzowani do zarządzania klastrem.

Uwaga

Identyfikator Entra firmy Microsoft to zalecany sposób uwierzytelniania klientów na potrzeby operacji zarządzania klastrem. Aby użyć identyfikatora Entra firmy Microsoft, należy utworzyć klaster przy użyciu usługi Azure Resource Manager.

Certyfikaty aplikacji (opcjonalnie)

W klastrze można zainstalować dowolną liczbę dodatkowych certyfikatów na potrzeby zabezpieczeń aplikacji. Przed utworzeniem klastra należy wziąć pod uwagę scenariusze zabezpieczeń aplikacji, które wymagają zainstalowania certyfikatu w węzłach, takich jak:

  • Szyfrowanie i odszyfrowywanie wartości konfiguracji aplikacji
  • Szyfrowanie danych między węzłami podczas replikacji

Nie można skonfigurować certyfikatów aplikacji podczas tworzenia klastra za pośrednictwem witryny Azure Portal. Aby skonfigurować certyfikaty aplikacji w czasie konfiguracji klastra, należy utworzyć klaster przy użyciu usługi Azure Resource Manager. Możesz również dodać certyfikaty aplikacji do klastra po jego utworzeniu.

Tworzenie klastra w witrynie Azure Portal

Tworzenie klastra produkcyjnego w celu spełnienia wymagań aplikacji obejmuje pewne planowanie, aby ułatwić sobie z tym zapoznanie się z dokumentem zagadnienia dotyczące planowania klastra usługi Service Fabric i zapoznanie się z nim.

Wyszukiwanie zasobu klastra usługi Service Fabric

Zaloguj się w witrynie Azure Portal. Kliknij pozycję Utwórz zasób , aby dodać nowy szablon zasobu. Wyszukaj szablon klastra usługi Service Fabric w witrynie Marketplace w obszarze Wszystko. Wybierz pozycję Klaster usługi Service Fabric z listy.

wyszukaj szablon klastra usługi Service Fabric w witrynie Azure Portal.

Przejdź do bloku Klaster usługi Service Fabric, a następnie kliknij przycisk Utwórz.

Blok Tworzenie klastra usługi Service Fabric zawiera następujące cztery kroki:

1. Podstawy

W bloku Podstawy musisz podać podstawowe informacje dotyczące klastra.

  1. Wprowadź nazwę klastra.

  2. Wprowadź nazwę użytkownika i hasło pulpitu zdalnego dla maszyn wirtualnych.

  3. Upewnij się, że wybrano subskrypcję , do której ma zostać wdrożony klaster, zwłaszcza jeśli masz wiele subskrypcji.

  4. Utwórz nową grupę zasobów. Najlepiej nadać mu taką samą nazwę jak klaster, ponieważ pomaga w znalezieniu ich później, zwłaszcza podczas próby wprowadzenia zmian we wdrożeniu lub usunięciu klastra.

    Uwaga

    Chociaż możesz zdecydować się na użycie istniejącej grupy zasobów, dobrym rozwiązaniem jest utworzenie nowej grupy zasobów. Ułatwia to usuwanie klastrów i wszystkich używanych zasobów.

  5. Wybierz lokalizację, w której chcesz utworzyć klaster. Jeśli planujesz użyć istniejącego certyfikatu, który został już przekazany do magazynu kluczy, musisz użyć tego samego regionu, w którym znajduje się magazyn kluczy.

2. Konfiguracja klastra

Tworzenie typu węzła

Skonfiguruj węzły klastra. Typy węzłów definiują rozmiary maszyn wirtualnych, liczbę maszyn wirtualnych i ich właściwości. Klaster może mieć więcej niż jeden typ węzła, ale podstawowy typ węzła (pierwszy zdefiniowany w portalu) musi mieć co najmniej pięć maszyn wirtualnych, ponieważ jest to typ węzła, w którym są umieszczane usługi systemowe usługi Service Fabric. Nie konfiguruj właściwości umieszczania, ponieważ domyślna właściwość umieszczania właściwości "NodeTypeName" jest dodawana automatycznie.

Uwaga

Typowym scenariuszem dla wielu typów węzłów jest aplikacja zawierająca usługę frontonu i usługę zaplecza. Chcesz umieścić usługę frontonu na mniejszych maszynach wirtualnych (takich jak D2_V2) z otwartymi portami w Internecie i umieścić usługę zaplecza na większych maszynach wirtualnych (z rozmiarami maszyn wirtualnych, takimi jak D3_V2, D6_V2, D15_V2 itd.) bez otwartych portów internetowych.

  1. Wybierz nazwę typu węzła (od 1 do 12 znaków zawierających tylko litery i cyfry).
  2. Minimalny rozmiar maszyn wirtualnych dla typu węzła podstawowego jest napędzany przez warstwę trwałości wybranej dla klastra. Domyślną wartością warstwy trwałości jest brąz. Aby uzyskać więcej informacji na temat trwałości, zobacz , jak wybrać trwałość klastra usługi Service Fabric.
  3. Wybierz rozmiar maszyny wirtualnej. Maszyny wirtualne serii D mają dyski SSD i są zdecydowanie zalecane w przypadku aplikacji stanowych. Nie używaj żadnej jednostki SKU maszyny wirtualnej, która ma częściowe rdzenie lub ma mniej niż 10 GB dostępnej pojemności dysku. Zapoznaj się z dokumentem planowania klastra usługi Service Fabric, aby uzyskać pomoc dotyczącą wybierania rozmiaru maszyny wirtualnej.
  4. Klaster z jednym węzłem i trzy klastry węzłów są przeznaczone tylko do użycia testowego. Nie są one obsługiwane w przypadku żadnych uruchomionych obciążeń produkcyjnych.
  5. Wybierz pojemność początkowego zestawu skalowania maszyn wirtualnych dla typu węzła. Liczbę maszyn wirtualnych w typie węzła można później skalować w poziomie lub w poziomie, ale w przypadku podstawowego typu węzła minimalna liczba to pięć dla obciążeń produkcyjnych. Inne typy węzłów mogą mieć co najmniej jedną maszynę wirtualną. Minimalna liczba maszyn wirtualnych dla typu węzła podstawowego powoduje niezawodność klastra.
  6. Konfigurowanie niestandardowych punktów końcowych. To pole umożliwia wprowadzenie rozdzielanej przecinkami listy portów, które mają zostać uwidocznione za pośrednictwem usługi Azure Load Balancer w publicznym Internecie dla aplikacji. Jeśli na przykład planujesz wdrożyć aplikację internetową w klastrze, wprowadź tutaj "80", aby zezwolić na ruch na porcie 80 w klastrze. Aby uzyskać więcej informacji na temat punktów końcowych, zobacz Komunikowanie się z aplikacjami.
  7. Włącz zwrotny serwer proxy. Zwrotny serwer proxy usługi Service Fabric ułatwia mikrousługi uruchomione w klastrze usługi Service Fabric odnajdywanie i komunikowanie się z innymi usługami, które mają punkty końcowe http.
  8. Wróć do bloku Konfiguracja klastra w obszarze +Pokaż opcjonalne ustawienia, skonfiguruj diagnostykę klastra. Domyślnie diagnostyka jest włączona w klastrze, aby ułatwić rozwiązywanie problemów. Jeśli chcesz wyłączyć diagnostykę, zmień przełącznik Stan na Wyłączone. Wyłączenie diagnostyki nie jest zalecane. Jeśli masz już utworzony projekt usługi Application Insights, nadaj mu klucz, aby ślady aplikacji zostały do niego kierowane.
  9. Uwzględnij usługę DNS. Usługa DNS opcjonalna usługa, która umożliwia znajdowanie innych usług przy użyciu protokołu DNS.
  10. Wybierz tryb uaktualniania sieci szkieletowej, na który chcesz ustawić klaster. Wybierz pozycję Automatycznie, jeśli chcesz, aby system automatycznie pobierał najnowszą dostępną wersję i spróbuj uaktualnić klaster do niego. Ustaw tryb na Ręczne, jeśli chcesz wybrać obsługiwaną wersję. Aby uzyskać więcej informacji na temat trybu uaktualniania sieci szkieletowej, zobacz dokument Uaktualnianie klastra usługi Service Fabric.

Uwaga

Obsługujemy tylko klastry z obsługiwanymi wersjami usługi Service Fabric. Wybierając tryb ręczny, ponosisz odpowiedzialność za uaktualnienie klastra do obsługiwanej wersji.

3. Zabezpieczenia

Zrzut ekranu przedstawiający konfiguracje zabezpieczeń w witrynie Azure Portal.

Aby ułatwić skonfigurowanie bezpiecznego klastra testowego, udostępniamy opcję Podstawowa. Jeśli masz już certyfikat i przekazano go do magazynu kluczy (i włączono magazyn kluczy do wdrożenia), użyj opcji Niestandardowe.

Opcja podstawowa

Postępuj zgodnie z ekranami, aby dodać lub ponownie użyć istniejącego magazynu kluczy i dodać certyfikat. Dodanie certyfikatu jest procesem synchronicznym i dlatego trzeba będzie poczekać na utworzenie certyfikatu.

Oprzej się pokusie poruszania się z dala od ekranu do momentu ukończenia poprzedniego procesu.

Zrzut ekranu przedstawiający stronę Zabezpieczenia z wybraną pozycją Podstawowa z okienkiem Magazyn kluczy i okienkiem Tworzenie magazynu kluczy.

Po utworzeniu magazynu kluczy zmodyfikuj zasady dostępu dla magazynu kluczy.

Kliknij pozycję Edytuj zasady dostępu, a następnie pokaż zaawansowane zasady dostępu i włącz dostęp do usługi Azure Virtual Machines na potrzeby wdrożenia. Zaleca się również włączenie wdrożenia szablonu. Po wybraniu opcji nie zapomnij kliknąć przycisku Zapisz i zamknąć okienko Zasady dostępu.

Zrzut ekranu przedstawiający okienko Tworzenie klastra usługi Service Fabric z otwartym okienkiem Zabezpieczenia i otwarciem okienka Zasady dostępu.

Wprowadź nazwę certyfikatu i kliknij przycisk OK.

Zrzut ekranu przedstawiający okienko Tworzenie klastra usługi Service Fabric z wybraną pozycją Zabezpieczenia, ale bez wyjaśnienia, że magazyn kluczy nie jest włączony.

Opcja niestandardowa

Pomiń tę sekcję, jeśli zostały już wykonane kroki w opcji podstawowej .

Zrzut ekranu przedstawiający okno dialogowe Konfigurowanie ustawień zabezpieczeń klastra.

Aby ukończyć stronę zabezpieczeń, potrzebny jest źródłowy magazyn kluczy, adres URL certyfikatu i odcisk palca certyfikatu. Jeśli go nie masz, otwórz kolejne okno przeglądarki i w witrynie Azure Portal wykonaj następujące czynności:

  1. Przejdź do usługi magazynu kluczy.

  2. Wybierz kartę "Właściwości" i skopiuj identyfikator zasobu do pozycji "Magazyn kluczy źródłowych" w innym oknie przeglądarki.

    Zrzut ekranu przedstawia okno Właściwości dla magazynu kluczy.

  3. Teraz wybierz kartę "Certyfikaty".

  4. Kliknij odcisk palca certyfikatu, który spowoduje przejście do strony Wersje.

  5. Kliknij identyfikatory GUID widoczne w bieżącej wersji.

    Zrzut ekranu przedstawiający okno Certyfikat dla magazynu kluczy

  6. Teraz na ekranie powinien znajdować się ekran podobny do poniższego. Skopiuj odcisk palca SHA-1 szesnastkowy do pozycji "Odcisk palca certyfikatu" w innym oknie przeglądarki.

  7. Skopiuj identyfikator wpisu tajnego do adresu URL certyfikatu w innym oknie przeglądarki.

    Zrzut ekranu przedstawia okno dialogowe Wersja certyfikatu z opcją skopiowania identyfikatora certyfikatu.

Zaznacz pole Konfigurowanie ustawień zaawansowanych, aby wprowadzić certyfikaty klienta dla klienta administracyjnego i klienta tylko do odczytu. W tych polach wprowadź odcisk palca certyfikatu klienta administratora i odcisk palca certyfikatu klienta użytkownika tylko do odczytu, jeśli ma to zastosowanie. Gdy administratorzy próbują nawiązać połączenie z klastrem, otrzymują dostęp tylko wtedy, gdy mają certyfikat z odciskiem palca zgodnym z wprowadzonymi tutaj wartościami odcisku palca.

4. Podsumowanie

Teraz możesz przystąpić do wdrażania klastra. Zanim to zrobisz, pobierz certyfikat, poszukaj w dużym niebieskim polu informacyjnym linku. Upewnij się, że certyfikat jest w bezpiecznym miejscu, musisz nawiązać połączenie z klastrem. Ponieważ pobrany certyfikat nie ma hasła, zaleca się dodanie go.

Aby ukończyć tworzenie klastra, kliknij przycisk Utwórz. Opcjonalnie możesz pobrać szablon.

Możesz zobaczyć postępy tworzenia w powiadomieniach. (Kliknij ikonę "Dzwonek" w pobliżu paska stanu w prawym górnym rogu ekranu). Po kliknięciu przycisku Przypnij do tablicy startowej podczas tworzenia klastra zobaczysz pozycję Wdrażanie klastra usługi Service Fabric przypiętego do tablicy startowej. Ten proces może trochę potrwać.

Aby wykonać operacje zarządzania w klastrze przy użyciu programu PowerShell lub interfejsu wiersza polecenia, musisz połączyć się z klastrem, przeczytaj więcej na temat sposobu nawiązywania połączenia z klastrem.

Wyświetlanie stanu klastra

Zrzut ekranu przedstawiający szczegóły klastra na pulpicie nawigacyjnym.

Po utworzeniu klastra możesz sprawdzić klaster w portalu:

  1. Przejdź do pozycji Przeglądaj i kliknij pozycję Klastry usługi Service Fabric.
  2. Znajdź klaster i kliknij go.
  3. Możesz teraz wyświetlić szczegóły klastra na pulpicie nawigacyjnym, w tym publiczny punkt końcowy klastra oraz link do narzędzia Service Fabric Explorer.

Sekcja Monitor węzłów w bloku pulpitu nawigacyjnego klastra wskazuje liczbę maszyn wirtualnych, które są w dobrej kondycji i nie są w dobrej kondycji. Więcej szczegółów na temat kondycji klastra można znaleźć na stronie Wprowadzenie do modelu kondycji usługi Service Fabric.

Uwaga

Klastry usługi Service Fabric wymagają, aby zawsze utrzymywać dostępność i zachowywać stan określony węzłów , nazywanych "utrzymywaniem kworum". W związku z tym zazwyczaj nie można bezpiecznie zamknąć wszystkich maszyn w klastrze, chyba że po raz pierwszy wykonano pełną kopię zapasową stanu.

Zdalne nawiązywanie połączenia z wystąpieniem zestawu skalowania maszyn wirtualnych lub węzłem klastra

Każdy element NodeTypes określony w klastrze powoduje skonfigurowanie zestawu skalowania maszyn wirtualnych.

Następne kroki

W tym momencie masz bezpieczny klaster używający certyfikatów do uwierzytelniania zarządzania. Następnie połącz się z klastrem i dowiedz się, jak zarządzać wpisami tajnymi aplikacji. Dowiedz się również więcej o opcjach pomocy technicznej usługi Service Fabric.