Vytvoření clusteru Service Fabric v Azure pomocí webu Azure Portal

  • Článek

Tento článek je podrobný průvodce, který vás provede postupem nastavení clusteru Service Fabric (Linux nebo Windows) v Azure pomocí webu Azure Portal. Tato příručka vás provede následujícími kroky:

  • Vytvořte cluster v Azure prostřednictvím webu Azure Portal.
  • Ověřte správce pomocí certifikátů.

Poznámka:

Pokud získáte pokročilejší možnosti zabezpečení, jako je ověřování uživatelů s ID Microsoft Entra a nastavení certifikátů pro zabezpečení aplikací, vytvořte cluster pomocí Azure Resource Manageru.

Zabezpečení clusteru

Ve službě Service Fabric se k ověřování a šifrování pro zabezpečení různých aspektů clusteru a jeho aplikací využívají certifikáty. Další informace o použití certifikátů ve službě Service Fabric najdete v tématu věnovaném scénářům zabezpečení clusteru Service Fabric.

Pokud vytváříte cluster Service Fabric poprvé nebo nasazujete cluster pro testovací úlohy, můžete přeskočit k další části (Vytvoření clusteru na webu Azure Portal) a nechat systém generovat certifikáty potřebné pro clustery, které spouštějí testovací úlohy. Pokud nastavujete cluster pro produkční úlohy, pokračujte ve čtení.

Certifikát clusteru a serveru (povinné)

Tento certifikát je nutný k zabezpečení clusteru a zabránění neoprávněnému přístupu k němu. Poskytuje zabezpečení clusteru několika způsoby:

  • Ověřování clusteru: Ověřuje komunikaci mezi uzly pro federaci clusteru. Ke clusteru se můžou připojit jenom uzly, které můžou prokázat svoji identitu pomocí tohoto certifikátu.
  • Ověřování serveru: Ověřuje koncové body správy clusteru klientovi pro správu, aby klient pro správu věděl, že mluví se skutečným clusterem. Tento certifikát také poskytuje protokol TLS pro rozhraní API pro správu HTTPS a Pro Service Fabric Explorer přes HTTPS.

Aby certifikát sloužil těmto účelům, musí splňovat následující požadavky:

  • Certifikát musí obsahovat privátní klíč.
  • Certifikát musí být vytvořen pro výměnu klíčů, exportovatelný do souboru Personal Information Exchange (.pfx).
  • Název subjektu certifikátu se musí shodovat s doménou používanou pro přístup ke clusteru Service Fabric. To je nutné k poskytování protokolu TLS pro koncové body správy HTTPS clusteru a Service Fabric Exploreru. Certifikát TLS/SSL nelze získat od certifikační autority (CA) pro .cloudapp.azure.com doménu. Získejte vlastní název domény pro váš cluster. Když požádáte o certifikát od certifikační autority, musí název subjektu certifikátu odpovídat vlastnímu názvu domény použitému pro váš cluster.
  • Seznam názvů DNS certifikátu musí obsahovat plně kvalifikovaný název domény (FQDN) clusteru.

Certifikáty ověřování klientů

Extra klientské certifikáty ověřují správce pro úlohy správy clusteru. Service Fabric má dvě úrovně přístupu: správce a uživatel jen pro čtení. Minimálně by se měl použít jeden certifikát pro přístup pro správu. Pro další přístup na úrovni uživatele musí být poskytnut samostatný certifikát. Další informace o rolích přístupu najdete v tématu Řízení přístupu na základě role pro klienty Service Fabric.

Abyste mohli pracovat s Service Fabric, nemusíte do služby Key Vault nahrávat ověřovací certifikáty klientů. Tyto certifikáty je potřeba poskytnout jenom uživatelům, kteří mají oprávnění ke správě clusteru.

Poznámka:

Microsoft Entra ID je doporučený způsob ověřování klientů pro operace správy clusteru. Pokud chcete použít ID Microsoft Entra, musíte vytvořit cluster pomocí Azure Resource Manageru.

Certifikáty aplikací (volitelné)

V clusteru je možné nainstalovat libovolný počet dodatečných certifikátů pro účely zabezpečení aplikací. Před vytvořením clusteru zvažte scénáře zabezpečení aplikací, které vyžadují instalaci certifikátu na uzlech, například:

  • Šifrování a dešifrování hodnot konfigurace aplikace
  • Šifrování dat mezi uzly během replikace

Při vytváření clusteru prostřednictvím webu Azure Portal není možné nakonfigurovat certifikáty aplikací. Pokud chcete nakonfigurovat certifikáty aplikací v době nastavení clusteru, musíte vytvořit cluster pomocí Azure Resource Manageru. Po vytvoření můžete do clusteru přidat také certifikáty aplikací.

Vytvoření clusteru na webu Azure Portal

Vytvoření produkčního clusteru, který bude vyhovovat potřebám vaší aplikace, zahrnuje určité plánování, které vám s tím pomůže, důrazně doporučujeme přečíst si dokument s aspekty plánování clusteru Service Fabric a porozumět jim.

Vyhledání prostředku clusteru Service Fabric

Přihlaste se k portálu Azure. Kliknutím na Vytvořit prostředek přidejte novou šablonu prostředku. Vyhledejte šablonu clusteru Service Fabric na Marketplace v části Vše. V seznamu vyberte cluster Service Fabric.

vyhledejte šablonu clusteru Service Fabric na webu Azure Portal.

Přejděte do okna Cluster Service Fabric a klikněte na Vytvořit.

Okno Vytvořit cluster Service Fabric má následující čtyři kroky:

1. Základní informace

Snímek obrazovky s vytvořením nové skupiny prostředků

V okně Základy musíte zadat základní podrobnosti o clusteru.

  1. Zadejte název clusteru.

  2. Zadejte uživatelské jméno a heslo pro vzdálenou plochu pro virtuální počítače.

  3. Nezapomeňte vybrat předplatné , do kterého chcete cluster nasadit, zejména pokud máte více předplatných.

  4. Vytvořte novou skupinu prostředků. Nejlepší je dát mu stejný název jako cluster, protože pomáhá při jejich pozdějším hledání, zejména při pokusu o provedení změn nasazení nebo odstranění clusteru.

    Poznámka:

    I když se můžete rozhodnout použít existující skupinu prostředků, je vhodné vytvořit novou skupinu prostředků. To usnadňuje odstraňování clusterů a všech prostředků, které používá.

  5. Vyberte umístění, ve kterém chcete cluster vytvořit. Pokud plánujete použít existující certifikát, který jste už nahráli do trezoru klíčů, musíte použít stejnou oblast, ve které je váš trezor klíčů.

2. Konfigurace clusteru

Vytvoření typu uzlu

Nakonfigurujte uzly clusteru. Typy uzlů definují velikosti virtuálních počítačů, počet virtuálních počítačů a jejich vlastnosti. Cluster může mít více než jeden typ uzlu, ale primární typ uzlu (první, který definujete na portálu), musí mít alespoň pět virtuálních počítačů, protože se jedná o typ uzlu, ve kterém jsou umístěné systémové služby Service Fabric. Nekonfigurujte vlastnosti umístění, protože výchozí vlastnost umístění NodeTypeName je přidána automaticky.

Poznámka:

Běžným scénářem pro více typů uzlů je aplikace, která obsahuje front-endovou službu a back-endovou službu. Front-endovou službu chcete umístit na menší virtuální počítače (velikosti virtuálních počítačů jako D2_V2) s porty otevřenými na internet a umístit back-endovou službu na větší virtuální počítače (s velikostmi virtuálních počítačů, jako jsou D3_V2, D6_V2, D15_V2 atd.) bez otevřených internetových portů.

  1. Zvolte název typu uzlu (1 až 12 znaků obsahující pouze písmena a číslice).
  2. Minimální velikost virtuálních počítačů pro primární typ uzlu je řízena úrovní stálosti, kterou zvolíte pro cluster. Výchozí hodnota pro úroveň stálosti je bronzová. Další informace o odolnosti najdete v tématu o tom, jak zvolit odolnost clusteru Service Fabric.
  3. Vyberte velikost virtuálního počítače. Virtuální počítače řady D-series mají jednotky SSD a důrazně se doporučují pro stavové aplikace. Nepoužívejte skladovou položku virtuálního počítače, která má částečná jádra nebo má méně než 10 GB dostupné diskové kapacity. Nápovědu k výběru velikosti virtuálního počítače najdete v dokumentu s ohledem na plánování clusteru Service Fabric.
  4. Cluster s jedním uzlem a tři clustery uzlů jsou určeny pouze pro testovací použití. Nejsou podporované pro žádné spuštěné produkční úlohy.
  5. Zvolte počáteční kapacitu škálovací sady virtuálních počítačů pro typ uzlu. Počet virtuálních počítačů v typu uzlu můžete později škálovat nebo zmenšit, ale na primárním typu uzlu je minimum pět pro produkční úlohy. Jiné typy uzlů můžou mít minimálně jeden virtuální počítač. Minimální počet virtuálních počítačů pro primární typ uzlu určuje spolehlivost clusteru.
  6. Konfigurace vlastních koncových bodů Toto pole umožňuje zadat čárkami oddělený seznam portů, které chcete zpřístupnit prostřednictvím Azure Load Balanceru pro veřejný internet pro vaše aplikace. Pokud například plánujete nasadit webovou aplikaci do clusteru, zadejte sem "80", abyste umožnili provoz na portu 80 do clusteru. Další informace o koncových bodech najdete v tématu komunikace s aplikacemi.
  7. Povolte reverzní proxy server. Reverzní proxy server Service Fabric pomáhá mikroslužbám běžícím v clusteru Service Fabric zjišťovat a komunikovat s jinými službami, které mají koncové body HTTP.
  8. Zpět v okně Konfigurace clusteru v části +Zobrazit volitelná nastavení nakonfigurujte diagnostiku clusteru. Ve výchozím nastavení je v clusteru povolená diagnostika, která vám pomůže s řešením potíží. Pokud chcete zakázat diagnostiku, změňte přepínač Stav na Vypnuto. Vypnutí diagnostiky se nedoporučuje . Pokud už máte vytvořený projekt Application Insights, dejte jeho klíč, aby se do něj směrovaly trasování aplikací.
  9. Zahrnout službu DNS. Služba DNS je volitelná služba, která umožňuje najít další služby pomocí protokolu DNS.
  10. Vyberte režim upgradu prostředků infrastruktury, na který chcete cluster nastavit. Pokud chcete, aby systém automaticky vyzvedá nejnovější dostupnou verzi a pokusil se na něj upgradovat cluster, vyberte možnost Automaticky. Pokud chcete zvolit podporovanou verzi, nastavte režim na Ruční. Další podrobnosti o režimu upgradu prostředků infrastruktury najdete v dokumentu o upgradu clusteru Service Fabric.

Poznámka:

Podporujeme pouze clustery, na kterých běží podporované verze Service Fabric. Výběrem ručního režimu převezmete odpovědnost za upgrade clusteru na podporovanou verzi.

3. Zabezpečení

Snímek obrazovky s konfiguracemi zabezpečení na webu Azure Portal

Abychom vám usnadnili nastavení zabezpečeného testovacího clusteru, poskytli jsme možnost Basic . Pokud už certifikát máte a nahráli jste ho do trezoru klíčů (a povolili jste ho pro nasazení), použijte možnost Vlastní.

Základní možnost

Podle obrazovek přidejte nebo znovu použijte existující trezor klíčů a přidejte certifikát. Přidání certifikátu je synchronní proces, takže budete muset počkat na vytvoření certifikátu.

Odolejte pokušení přecházet mimo obrazovku, dokud předchozí proces nedokončí.

Snímek obrazovky se stránkou Zabezpečení s vybranou možností Basic s podoknem Trezor klíčů a podoknem Vytvořit trezor klíčů

Teď, když je trezor klíčů vytvořený, upravte zásady přístupu pro váš trezor klíčů.

Snímek obrazovky s podoknem Vytvořit cluster Service Fabric s vybranou možností 3 Zabezpečení a vysvětlením, že trezor klíčů není povolený

Klikněte na Upravit zásady přístupu a pak zobrazte pokročilé zásady přístupu a povolte přístup k virtuálním počítačům Azure pro nasazení. Doporučujeme také povolit nasazení šablony. Jakmile provedete výběr, nezapomeňte kliknout na tlačítko Uložit a zavřít podokno zásad přístupu.

Snímek obrazovky znázorňující podokno Vytvořit cluster Service Fabric s otevřeným podoknem Zabezpečení a otevřeným podoknem Zásady přístupu

Zadejte název certifikátu a klikněte na tlačítko OK.

Snímek obrazovky ukazuje podokno Vytvořit cluster Service Fabric s vybraným zabezpečením jako předtím, ale bez vysvětlení, že trezor klíčů není povolený.

Vlastní možnost

Pokud jste už provedli kroky v základní možnosti, přeskočte tuto část.

Snímek obrazovky s dialogovým oknem Konfigurace zabezpečení clusteru

K dokončení stránky zabezpečení potřebujete trezor zdrojového klíče, adresu URL certifikátu a kryptografický otisk certifikátu. Pokud ho nemáte po ruce, otevřete další okno prohlížeče a na webu Azure Portal udělejte toto:

  1. Přejděte do služby trezoru klíčů.

  2. Vyberte kartu Vlastnosti a zkopírujte ID prostředku do trezoru zdrojového klíče v druhém okně prohlížeče.

    Snímek obrazovky ukazuje okno Vlastnosti trezoru klíčů.

  3. Teď vyberte kartu Certifikáty.

  4. Klikněte na kryptografický otisk certifikátu, který vás přenese na stránku Verze.

  5. Klikněte na identifikátory GUID, které se zobrazí v aktuální verzi.

    Snímek obrazovky s oknem Certifikát pro trezor klíčů

  6. Teď byste měli být na obrazovce jako dole. Zkopírujte šestnáctkový kryptografický otisk SHA-1 do kryptografického otisku certifikátu v jiném okně prohlížeče.

  7. Zkopírujte identifikátor tajného klíče do adresy URL certifikátu v jiném okně prohlížeče.

    Snímek obrazovky s dialogovým oknem Verze certifikátu s možností kopírování identifikátoru certifikátu

Zaškrtněte políčko Konfigurovat upřesňující nastavení a zadejte klientské certifikáty pro klienta pro správu a klienta jen pro čtení. V těchto polích zadejte kryptografický otisk klientského certifikátu správce a kryptografický otisk klientského certifikátu uživatele jen pro čtení( pokud je to možné). Když se správci pokusí připojit ke clusteru, mají udělený přístup jenom v případě, že mají certifikát s kryptografickým otiskem, který odpovídá hodnotám kryptografického otisku zadaným tady.

4. Souhrn

Teď jste připraveni cluster nasadit. Než to uděláte, stáhněte si certifikát, podívejte se do velkého modrého informačního pole odkazu. Ujistěte se, že certifikát zůstane na bezpečném místě. potřebujete ho pro připojení ke clusteru. Vzhledem k tomu, že certifikát, který jste stáhli, nemá heslo, doporučujeme ho přidat.

Vytvoření clusteru dokončíte kliknutím na Vytvořit. Volitelně si můžete šablonu stáhnout.

Snímek obrazovky se stránkou Vytvořit souhrn clusteru Service Fabric s odkazem pro zobrazení a stažení certifikátu

Průběh vytváření můžete sledovat v oznámeních. (Klikněte na ikonu Zvonek v blízkosti stavového řádku v pravém horním rohu obrazovky.) Pokud jste při vytváření clusteru klikli na Připnout na Úvodní panel , zobrazí se připnuté nasazení clusteru Service Fabric na úvodní panel. Tento proces nějakou dobu trvá.

Abyste mohli provádět operace správy v clusteru pomocí PowerShellu nebo rozhraní příkazového řádku, musíte se ke clusteru připojit, přečtěte si další informace o tom, jak se připojit ke clusteru.

Zobrazení stavu clusteru

Snímek obrazovky s podrobnostmi clusteru na řídicím panelu

Po vytvoření clusteru můžete cluster zkontrolovat na portálu:

  1. Přejděte na Procházet a klikněte na Clustery Service Fabric.
  2. Vyhledejte cluster a klikněte na něj.
  3. Na řídicím panelu se zobrazí podrobnosti o clusteru, včetně veřejného koncového bodu clusteru a odkaz na Service Fabric Explorer.

Část Monitorování uzlů v okně řídicího panelu clusteru označuje počet virtuálních počítačů, které jsou v pořádku a nejsou v pořádku. Další podrobnosti o stavu clusteru najdete v úvodu k modelu stavu Service Fabric.

Poznámka:

Clustery Service Fabric vyžadují, aby byl vždy nastavený určitý počet uzlů, aby se zachovala dostupnost a zachoval stav – označuje se jako údržba kvora. Proto není obvykle bezpečné vypnout všechny počítače v clusteru, pokud jste nejprve neprovedli úplnou zálohu stavu.

Vzdálené připojení k instanci škálovací sady virtuálních počítačů nebo uzlu clusteru

Každý z nodeTypes, které zadáte v clusteru, má za následek nastavení škálovací sady virtuálních počítačů.

Další kroky

V tomto okamžiku máte zabezpečený cluster s využitím certifikátů pro ověřování správy. Dále se připojte ke clusteru a zjistěte, jak spravovat tajné kódy aplikací. Přečtěte si také informace o možnostech podpory Service Fabric.