Поделиться через

Общие сведения об изолированных кластерах Service Fabric

  • Статья

Кластер Service Fabric — это подключенный к сети набор виртуальных машин или физических компьютеров, в котором вы развертываете микрослужбы и управляете ими. Узлом кластера называется компьютер или виртуальная машина, которая входит в состав кластера. Кластеры можно масштабировать до нескольких тысяч узлов. Если вы добавите новые узлы в кластер, реплики раздела службы подвергнутся повторной балансировке Service Fabric с учетом этих узлов. Общая производительность приложения улучшится, а конфликт доступа к памяти уменьшится. При неэффективном использовании узлов в кластере вы можете уменьшить их количество. Service Fabric снова перераспределит реплики и экземпляры секции по меньшему количеству узлов, чтобы эффективно использовать оборудование на каждом узле.

Тип узла определяет размер, количество и свойства набора узлов в кластере. Каждый тип узла поддерживает возможность независимого масштабирования, имеет разные наборы открытых портов и собственные метрики емкости. Типы узлов используются для определения ролей набора узлов кластера, например "интерфейсная часть" или "серверная часть". В кластере могут быть узлы нескольких типов. Тип основных узлов должен включать не менее пяти виртуальных машин для производственных кластеров и не менее трех виртуальных машин для тестовых кластеров. Системные службы Service Fabric размещаются на узлах основного типа.

Процесс создания локального кластера Service Fabric аналогичен созданию кластера в любом облаке с набором виртуальных машин. Начальные действия по подготовке виртуальных машин выполняются поставщиком облачных служб или управляются используемой локальной средой. После создания набора виртуальных машин с сетевым подключением между ними выполните действия по установке пакета Service Fabric, затем измените параметры кластера и запустите сценарии создания кластера и управления им, которые похожи друг на друга. Это гарантирует, что ваши знания и опыт эксплуатации кластеров Service Fabric останутся актуальными при выборе новых сред размещения.

Безопасность кластера

Кластер Service Fabric — это ресурс, владельцем которого являетесь вы. Вам следует защитить кластеры, чтобы к ним не смогли подключиться неавторизованные пользователи. Защита кластера особенно важна при выполнении на нем производственных рабочих нагрузок.

Примечание.

Проверка подлинности Windows основана на протоколе Kerberos. NTLM не поддерживается в качестве типа проверки подлинности.

По возможности используйте проверку подлинности сертификата X.509 для кластеров Service Fabric.

безопасность обмена данными между узлами;

Безопасность между узлами обеспечивает защиту обмена данными между виртуальными машинами и компьютерами в кластере. Такая защита гарантирует, что размещать приложения и службы в кластере смогут владельцы только тех компьютеров, которые прошли авторизацию для подключения к кластеру. Service Fabric использует сертификаты X.509 для защиты кластера и обеспечения функций безопасности приложений. Сертификат кластера требуется для защиты трафика в кластере и выполнения аутентификации на сервере и на кластере. Самозаверяющие сертификаты можно использовать в целях проверки кластера, однако для защиты рабочих кластеров рекомендуется использовать сертификат, подписанный доверенным центром сертификации.

Безопасность Windows также может быть включена для изолированного кластера под управлением ОС Windows. Если у вас есть Windows Server 2012 R2 и Windows Active Directory, мы рекомендуем использовать безопасность Windows с группой управляемых учетных записей службы. В противном случае используйте безопасность Windows с учетными записями Windows.

Дополнительные сведения см. в разделе Безопасность обмена данными между узлами.

безопасность обмена данными между клиентами и узлами;

При безопасном обмене данными между клиентами и узлами используется аутентификация клиентов, а также обеспечивается защищенное взаимодействие между клиентом и отдельными узлами в кластере. Этот тип защиты обеспечивает доступ к кластеру и приложениям, развернутым в нем, только для авторизованных пользователей. Клиенты однозначно определяются с помощью учетных данных безопасности сертификата X.509. Чтобы выполнить на кластере аутентификацию таких клиентов, как администратор или пользователь, можно использовать любое количество необязательных клиентских сертификатов.

Помимо сертификатов клиентов идентификатор Microsoft Entra также можно настроить для проверки подлинности клиентов в кластере.

Дополнительные сведения см. в разделе Безопасность обмена данными между клиентами и узлами.

Управление доступом на основе ролей Service Fabric

Service Fabric также поддерживает управление доступом, чтобы ограничить доступ к определенным операциям в кластере для разных групп пользователей. Это позволит обеспечить более надежную защиту кластера. Для клиентов, подключающихся к кластеру, поддерживаются два типа управления доступом: роль администратора и роль пользователя.

Дополнительные сведения см. в разделе Управление доступом на основе ролей Service Fabric.

Масштабирование

Требования приложения со временем изменяются. Вам может понадобиться увеличить ресурсы кластера, чтобы удовлетворить повышенную рабочую нагрузку на приложения и высокий трафик, или уменьшить ресурсы кластера при снижении спроса. После создания кластера Service Fabric можно масштабировать кластер горизонтально (изменение количества узлов) и вертикально (изменение ресурсов узлов). Кластер можно масштабировать в любое время, даже когда в нем выполняются рабочие нагрузки. Вместе с кластером автоматически масштабируются ваши приложения.

Масштабирование автономных кластеров Service Fabric.

Обновление

Автономный кластер является ресурсом, который полностью принадлежит вам. Вы отвечаете за исправления базовой операционной системы и запуск обновлений Service Fabric. Вы можете настроить для кластера автоматическое обновление среды выполнения по мере выпуска новых версий корпорацией Майкрософт или же выбрать нужную версию в списке поддерживаемых. Кроме обновлений Service Fabric вы также можете применить исправления для операционной системы и обновить конфигурацию кластера, например сертификаты или порты приложения.

Дополнительные сведения см. в статье Обновление изолированного кластера Service Fabric.

Поддерживаемые операционные системы

Вы можете создавать кластеры на виртуальных машинах или компьютерах под управлением следующих операционных систем (Linux пока не поддерживается):

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

Следующие шаги

Ознакомьтесь со статьями Сценарии защиты кластера Service Fabric, Масштабирование автономных кластеров Service Fabric и Обновление изолированного кластера Service Fabric, касающихся изолированных кластеров.

Узнайте о вариантах поддержки Service Fabric.