Поделиться через


Создание кластера Service Fabric в Azure с помощью портала Azure

В этой статье описывается пошаговое руководство по настройке кластера Service Fabric (Linux или Windows) в Azure с помощью портал Azure. Данное руководство описывает следующие действия:

  • Создание кластера в Azure с помощью портала Azure.
  • Аутентификация администраторов с помощью сертификатов.

Примечание.

Для более сложных параметров безопасности, таких как проверка подлинности пользователей с помощью идентификатора Microsoft Entra и настройка сертификатов для безопасности приложений, создайте кластер с помощью Azure Resource Manager.

Безопасность кластера

Сертификаты используются в Service Fabric, чтобы обеспечить функции аутентификации и шифрования для защиты различных аспектов кластера и его приложений. Дополнительные сведения о том, как сертификаты используются в Service Fabric, см. в статье Сценарии защиты кластера Service Fabric.

Если вы впервые создаете кластер Service Fabric или развертываете кластер для тестовых рабочих нагрузок, перейдите к следующему разделу (Создание кластера в портал Azure) и создайте системные сертификаты, необходимые для кластеров, выполняющих тестовые рабочие нагрузки. Если вы настраиваете кластер для рабочих нагрузок, продолжайте чтение.

Сертификат кластера и сервера (обязательно)

Этот сертификат требуется для защиты кластера и предотвращения несанкционированного доступа к нему. Он обеспечивает безопасность кластера несколькими способами.

  • Аутентификация в кластере позволяет аутентифицировать обмен данными между узлами для федерации кластера. Только узлы, которые могут подтвердить свою подлинность с помощью этого сертификата, могут присоединиться к кластеру.
  • Проверка подлинности сервера: выполняет проверку подлинности конечных точек управления кластера в клиенте управления, чтобы клиент управления знал, что он разговаривает с реальным кластером. Этот сертификат также предоставляет TLS для API управления HTTPS и Service Fabric Explorer по протоколу HTTPS.

Для этого сертификат должен отвечать следующим требованиям:

  • Сертификат должен содержать закрытый ключ.
  • Сертификат должен быть создан для обмена ключами, которые можно экспортировать в файл обмена личной информацией (PFX-файл).
  • Имя субъекта сертификата должно совпадать с доменным именем, которое используется для обращения к кластеру Service Fabric. Это необходимо, чтобы предоставить протокол TLS для конечных точек управления HTTPS в кластере и Service Fabric Explorer. Сертификат TLS/SSL нельзя получить из центра сертификации (ЦС) для .cloudapp.azure.com домена. Необходимо получить имя личного домена для кластера. При запросе сертификата из ЦС имя субъекта сертификата должно совпадать с именем личного домена, используемого для кластера.
  • Список DNS-имен сертификата должен содержать полное доменное имя кластера.

Сертификаты проверки подлинности клиента

Дополнительные сертификаты клиента проходят проверку подлинности администраторов для задач управления кластерами. Service Fabric имеет два уровня доступа: администратор и пользователь только для чтения. Необходимо использовать хотя бы один сертификат для административного доступа. Для дополнительного доступа на уровне пользователя необходимо предоставить отдельный сертификат. Дополнительные сведения о ролях доступа см. в статье Контроль доступа на основе ролей для клиентов Service Fabric.

Для работы с Service Fabric вам не нужно отправлять сертификаты проверки подлинности клиента в Key Vault. Эти сертификаты должны предоставляться только пользователям, уполномоченным осуществлять управление кластером.

Примечание.

Идентификатор Microsoft Entra — это рекомендуемый способ проверки подлинности клиентов для операций управления кластерами. Чтобы использовать идентификатор Microsoft Entra, необходимо создать кластер с помощью Azure Resource Manager.

Сертификаты приложения (необязательно)

Любое количество дополнительных сертификатов можно установить в кластере в целях безопасности приложений. Перед созданием кластера рассмотрите сценарии безопасности приложений, которые требуют установки сертификатов на узлах, в том числе:

  • шифрование и расшифровка значений конфигурации приложений;
  • шифрование данных между узлами во время репликации.

Сертификаты приложений нельзя настроить при создании кластера с помощью портал Azure. Чтобы настроить сертификаты приложения в процессе настройки кластера, необходимо создать кластер с помощью Azure Resource Manager. Вы также можете добавить сертификаты приложений в кластер после его создания.

Создание кластера на портале Azure

Создание рабочего кластера для удовлетворения потребностей приложения включает в себя некоторые планы, чтобы помочь вам с этим, рекомендуется прочитать и понять документ о планировании кластеров Service Fabric.

Поиск кластерных ресурсов Service Fabric

Войдите на портал Azure. Чтобы добавить новый шаблон ресурсов, щелкните Создать ресурс. Найдите шаблон "Кластер Service Fabric" в Marketplace в разделе Все. Выберите в списке Кластер Service Fabric .

поиск шаблона кластера Service Fabric на портале Azure.

Перейдите к колонке Кластер Service Fabric и выберите Создать.

В колонке Создание кластера Service Fabric необходимо выполнить четыре шага:

1. Основы

В колонке "Основные сведения" требуется указать основные сведения для кластера.

  1. Введите имя кластера.

  2. Введите имя пользователя и пароль для удаленного рабочего стола виртуальных машин.

  3. Выберите подписку , в которой вы хотите развернуть кластер, особенно при наличии нескольких подписок.

  4. Создайте группу ресурсов. Лучше всего присвоить ему то же имя, что и кластер, так как он помогает найти их позже, особенно при попытке внести изменения в развертывание или удалить кластер.

    Примечание.

    Хотя вы можете использовать существующую группу ресурсов, рекомендуется создать новую. Это позволяет легко удалить кластеры и все используемые ими ресурсы.

  5. Выберите расположение, в котором требуется создать кластер. Если вы планируете использовать существующий сертификат, который вы уже отправили в хранилище ключей, необходимо использовать тот же регион, в который находится хранилище ключей.

2. Конфигурация кластера

Создание типа узла

Настройте узлы кластера. Он определяет размер виртуальных машин, их количество и свойства. Кластер может содержать узлы нескольких типов, однако первичный узел (тот, который вы задали на портале) должен включать не менее пяти виртуальных машин, так как на узлах такого типа расположены системные службы Service Fabric. Не настраивайте свойства размещения, так как свойство размещения по умолчанию nodeTypeName добавляется автоматически.

Примечание.

Распространенный сценарий для нескольких типов узлов — это приложение, содержащее интерфейсную и серверную службы. Интерфейсную службу нужно разместить на виртуальных машинах меньшего размера (например, D2_V2) с портами, открытыми для доступа через Интернет, а серверную службу — на более крупных виртуальных машинах (D3_V2, D6_V2, D15_V2 и т. д.) без портов, имеющих выход в Интернет.

  1. Выберите имя для типа узла (от 1 до 12 буквенно-цифровых символов).
  2. Минимальный размер виртуальных машин для первичного узла зависит от выбранного для кластера уровня устойчивости. Значение по умолчанию для уровня устойчивости — bronze (бронзовый). Дополнительные сведения об уровнях устойчивости см. в разделе Как выбрать уровень устойчивости кластера в Service Fabric.
  3. Выберите размер виртуальной машины. Виртуальные машины серии D оснащены твердотельными накопителями (SSD) и настоятельно рекомендуются для приложений с отслеживанием состояния. Не используйте номер SKU виртуальной машины с частичными ядрами или размером менее 10 ГБ доступной емкости диска. Дополнительные сведения о выборе размера виртуальной машины см. в документе по планированию кластера Service Fabric.
  4. Кластеры с одним узлом и тремя узлами предназначены для использования только в целях тестирования. Они не поддерживаются для выполняемых рабочих нагрузок.
  5. Выберите тип узла Initial virtual machine scale set capacity (Первоначальная емкость набора масштабирования виртуальных машин). Количество виртуальных машин для типа узла можно увеличить или уменьшить позже, но для рабочих нагрузок рабочей среды требуется не менее пяти виртуальных машин на первичном типе узла. Для других типов узлов можно задать минимум одну виртуальную машину. Минимальное количество виртуальных машин для первичного узла зависит от выбранного для кластера уровня надежности.
  6. Настройте пользовательские конечные точки. Это поле позволяет ввести список портов с разделителями-запятыми. С помощью Azure Load Balancer для приложений будет открыт общий доступ через Интернет к указанным здесь портам. Например, если вы планируете развернуть в своем кластере веб-приложение, то введите здесь "80", чтобы разрешить в этом кластере трафик через порт 80. Дополнительные сведения о конечных точках см. в разделе "Взаимодействие с приложениями".
  7. Включите обратный прокси-сервер. Обратный прокси-сервер Service Fabric помогает микрослужбам, работающим в кластере Service Fabric, обнаруживать другие службы с конечными точками HTTP и взаимодействовать с этими службами.
  8. Вернитесь в колонку Конфигурация кластера и в разделе + Показать дополнительные параметры настройте диагностику кластера. Диагностика в кластере включена по умолчанию. Это упрощает устранение неполадок. Если вы хотите отключить систему диагностики, установите переключатель Состояние в положение Выкл. Отключать систему диагностики не рекомендуется. Если проект Application Insights уже создан, тогда предоставьте его ключ, чтобы направить трассировку приложения к нему.
  9. Включите службу DNS. Служба DNS является дополнительной службой, которая позволяет находить другие службы с помощью протокола DNS.
  10. Выберите режим обновления Service Fabric, который необходимо задать для кластера. Если требуется, чтобы система автоматически получала последнюю версию и выполняла попытку обновить до нее кластер, выберите пункт Автоматически. Если вы хотите выбирать поддерживаемую версию, задайте режим Вручную. Дополнительные сведения о режиме обновления Fabric см. в документе об обновлении кластера Service Fabric.

Примечание.

Корпорация Майкрософт поддерживает только кластеры под управлением поддерживаемых версий Service Fabric. Выбрав режим Вручную, вы принимаете на себя ответственность за обновление кластера до поддерживаемой версии.

3. Безопасность

Снимок экрана: настройка безопасности на портале Azure.

Чтобы упростить настройку безопасного тестового кластера, мы предоставляем базовый вариант. Если у вас уже есть сертификат и он был отправлен в хранилище ключей (и включен хранилище ключей для развертывания), используйте настраиваемый параметр.

Параметр "Базовый"

Следуйте инструкциям на экране, чтобы добавить или повторно использовать хранилище ключей и добавить сертификат. Добавление сертификата является синхронным процессом, поэтому вам придется ждать создания сертификата.

Не покидайте экран до завершения процесса.

Снимок экрана: страница

После создания хранилища ключей измените политики доступа для хранилища ключей.

Щелкните Изменить политики доступа, затем Показать политики расширенного доступа и включите доступ к виртуальным машинам Azure для развертывания. Рекомендуется также включить развертывание шаблона. После выбора не забудьте нажать кнопку "Сохранить " и закрыть область политик доступа.

Снимок экрана: область

Укажите имя сертификата и нажмите кнопку ОК.

Снимок экрана: область

Параметр "Пользовательский"

Пропустите этот раздел, если вы уже выполнили действия, описанные для параметра Базовый.

Снимок экрана: диалоговое окно с параметрами безопасности кластера.

Чтобы заполнить страницу "Безопасность", вам потребуются исходное хранилище ключей, URL-адрес сертификата и его отпечаток. Если у вас нет удобного, откройте другое окно браузера и в портал Azure выполните следующие действия:

  1. Перейдите в службу хранилища ключей.

  2. Перейдите на вкладку "Свойства" и скопируйте идентификатор ресурса в исходное хранилище ключей в другом окне браузера.

    Снимок экрана: окно

  3. Теперь выберите вкладку "Сертификаты".

  4. Щелкните отпечаток сертификата, после чего вы перейдете на страницу версий.

  5. Щелкните идентификаторы GUID, которые показаны под текущей версией.

    Снимок экрана: окно

  6. Отобразится экран, похожий на показанный ниже. Скопируйте шестнадцатеричный отпечаток SHA-1 в "Отпечаток сертификата" в другом окне браузера.

  7. Скопируйте идентификатор секрета и вставьте его в поле URL-адреса сертификата в другом окне браузера.

    Снимок экрана: диалоговое окно

Установите флажок Настройка дополнительных параметров, чтобы ввести сертификаты клиента в поля Клиент администратора и Клиент только для чтения. В эти поля введите отпечаток сертификата клиента администратора и отпечаток сертификата клиента только для чтения (при наличии). Когда администраторы пытаются подключиться к кластеру, они получают доступ только в том случае, если у них есть сертификат с отпечатком, который соответствует значениям отпечатка, введенным здесь.

4. Сводка

Теперь вы будете готовы к развертыванию кластера. Перед этим скачайте сертификат. Для этого перейдите по ссылке в большом синем информационном поле. Убедитесь, что сертификат хранится в безопасном месте, его необходимо подключить к кластеру. Так как скачанный сертификат не имеет пароля, рекомендуется добавить его.

Для завершения создания кластера щелкните Создать. При необходимости можно скачать шаблон.

Ход создания кластера будет отображаться в области уведомлений. (Щелкните значок колокольчика рядом со строкой состояния в правом верхнем углу экрана.) Если при создании кластера вы установили флажок Закрепить на начальной панели, элемент Deploying Service Fabric Cluster (Развертывание кластера Service Fabric) будет закреплен на начальной панели. Этот процесс занимает некоторое время.

Чтобы выполнить операции управления в кластере с помощью Powershell или CLI, нужно подключиться к кластеру. Дополнительные сведения см. в статье Безопасное подключение к кластеру.

Просмотр состояния кластера

Снимок экрана: сведения о кластере на панели мониторинга.

После создания кластера его можно просмотреть на портале.

  1. Щелкните Обзор и выберите Кластеры Service Fabric.
  2. Найдите нужный кластер и щелкните его.
  3. На панели мониторинга отобразятся подробные сведения о кластере, включая общедоступную конечную точку кластера и ссылку на Service Fabric Explorer.

В разделе Монитор узла колонки панели мониторинга кластера отображается количество работоспособных и неработоспособных виртуальных машин. Дополнительные сведения о состоянии работоспособности кластеров см. в статье Общие сведения о наблюдении за работоспособностью системы в Service Fabric.

Примечание.

Для постоянной работы кластеров Service Fabric требуется определенное количество узлов, чтобы все время поддерживать доступность и сохранять состояние, которое называется "поддержание кворума". Поэтому обычно не рекомендуется завершать работу всех виртуальных машин в кластере, пока не будет выполнена полная архивация состояния, так как это может быть небезопасно.

Удаленное подключение к экземпляру из набора масштабирования виртуальных машин или узлу кластера

Каждый из типов узлов, задаваемый в кластере, отражается на конфигурации масштабируемого набора виртуальных машин.

Следующие шаги

На этом этапе у вас имеется защищенный кластер, использующий сертификаты для аутентификации управления. Далее подключитесь к этому кластеру и узнайте, как управлять секретами приложений. Кроме того, узнайте о вариантах поддержки Service Fabric.