Creare un cluster di Service Fabric in Azure tramite il portale di Azure
Questo articolo contiene una guida dettagliata che illustra i passaggi per la configurazione di un cluster di Service Fabric (Linux or Windows) in Azure tramite il portale di Azure. La guida fornisce istruzioni dettagliate sulle operazioni seguenti:
- Creare un cluster in Azure tramite il portale di Azure.
- Autenticare gli amministratori che usano i certificati.
Nota
Per le opzioni di sicurezza avanzata, ad esempio l'autenticazione dell'utente con Microsoft Entra ID e la configurazione dei certificati per la protezione delle applicazioni, creare il cluster usando Azure Resource Manager.
Sicurezza del cluster
I certificati vengono usati in Service Fabric per fornire l'autenticazione e la crittografia e proteggere i vari aspetti di un cluster e delle sue applicazioni. Per altre informazioni sull'uso dei certificati in Service Fabric, vedere Scenari di sicurezza di un cluster di Service Fabric.
Se è la prima volta che si sta creando un cluster dell'infrastruttura di servizio o si sta distribuendo un cluster per dei carichi di lavoro di prova, è possibile passare alla sezione successiva (Crea cluster nel portale di Azure) e ottenere dal sistema i certificati necessari per i cluster che eseguono carichi di lavoro di prova. Se si configura un cluster per i carichi di lavoro di produzione, continuare la lettura.
Cluster e certificato del server (obbligatorio)
Questo certificato è richiesto per proteggere un cluster e impedirne accessi non autorizzati. Il certificato fornisce protezione del cluster in due modi:
- Autenticazione del cluster: autentica la comunicazione da nodo a nodo per la federazione di cluster. Solo i nodi che possono dimostrare la propria identità con il certificato possono essere aggiunti al cluster.
- Autenticazione del server: autentica gli endpoint di gestione del cluster in un client di gestione, in modo che il client di gestione sappia con certezza di comunicare con il cluster reale. Questo certificato fornisce anche TLS per l'API di gestione HTTPS e per Service Fabric Explorer tramite HTTPS.
A tale scopo, il certificato deve soddisfare i requisiti seguenti:
- Il certificato deve includere una chiave privata.
- Il certificato deve essere stato creato per lo scambio di chiave, esportabile in un file con estensione pfx (Personal Information Exchange).
- Il nome del soggetto del certificato deve corrispondere al dominio usato per accedere al cluster Service Fabric. È necessario per fornire TLS per gli endpoint di gestione HTTPS del cluster e per Service Fabric Explorer. Non è possibile ottenere un certificato TLS/SSL da un'Autorità di certificazione (CA) per il dominio
.cloudapp.azure.com
. Acquistare un nome di dominio personalizzato per il cluster. Quando si richiede un certificato da una CA, il nome del soggetto del certificato deve corrispondere al nome di dominio personalizzato usato per il cluster. - L'elenco dei nomi DNS del certificato deve includere il nome di dominio completo (FQDN) del cluster.
Certificati di autenticazione client
I certificati client aggiuntivi autenticano gli amministratori per le attività di gestione del cluster. Service Fabric ha due livelli di accesso: admin e utente di sola lettura. Deve essere usato almeno un certificato per l'accesso amministrativo. Per l'accesso aggiuntivo a livello di utente, è necessario specificare un certificato separato. Per altre informazioni sui ruoli di accesso, vedere Controllo degli accessi in base al ruolo per i client di Service Fabric.
Per usare Service Fabric non è necessario caricare I certificati di autenticazione client nell'insieme di credenziali delle chiavi. Questi certificati devono essere forniti solo agli utenti autorizzati alla gestione del cluster.
Nota
Microsoft Entra ID è il metodo consigliato per autenticare i client per le operazioni di gestione del cluster. Per usare Microsoft Entra ID, è necessario creare un cluster tramite Azure Resource Manager.
Certificati delle applicazioni (facoltativo)
Per motivi di sicurezza dell'applicazione, è possibile installare nel cluster numerosi certificati aggiuntivi. Prima di creare il cluster, considerare gli scenari di protezione delle applicazioni che richiedono l'installazione di un certificato sui nodi, ad esempio:
- Crittografia e decrittografia dei valori di configurazione dell'applicazione
- Crittografia dei dati tra i nodi durante la replica
I certificati delle applicazioni non possono essere configurati durante la creazione di un cluster tramite il portale di Azure. Per configurare i certificati delle applicazioni in fase di installazione del cluster, è necessario creare un cluster tramite Azure Resource Manager. È anche possibile aggiungere certificati delle applicazione al cluster dopo la creazione.
Creare un cluster nel portale di Azure
La creazione di un cluster di produzione per soddisfare le esigenze dell'applicazione implica una pianificazione che aiuti in questo compito. È consigliabile leggere e accettare il documento Considerazioni sulla pianificazione del Cluster di Service Fabric.
Cercare la risorsa cluster di Service Fabric
Accedere al portale di Azure. Fare clic su Crea una risorsa per aggiungere un nuovo modello di risorsa. Cercare il modello del cluster di Service Fabric in Marketplace, nella sezione Tutto. Selezionare Cluster di Service Fabric nell'elenco.
Passare al pannello Cluster di Service Fabric e fare clic su Crea.
Il pannello Crea cluster di Service Fabric include i quattro passaggi descritti di seguito:
1. Informazioni di base
Nel pannello Informazioni di base è necessario fornire i dettagli di base per il cluster.
Immettere il nome del cluster.
Specificare un nome utente e una password per il desktop remoto delle macchine virtuali.
Assicurarsi di selezionare la sottoscrizione in cui si vuole distribuire il cluster, soprattutto se sono presenti più sottoscrizioni.
Creare un nuovo gruppo di risorse. Assegnare al gruppo lo stesso nome del cluster per poterlo trovare più facilmente in seguito, soprattutto quando si cerca di apportare modifiche alla distribuzione e/o eliminare il cluster.
Nota
Anche se è possibile decidere di usare un gruppo di risorse esistente, è meglio crearne uno nuovo, Ciò rende facile eliminare i cluster e tutte le risorse da esso utilizzate.
Selezionare l'area in cui creare il cluster. Se si prevede di usare un certificato esistente già caricato in un insieme di credenziali delle chiavi, è necessario usare la stessa area che corrisponde all'insieme di credenziali delle chiavi.
2. Configurazione del cluster
Configurare i nodi del cluster. poiché definiscono le dimensioni delle VM, il numero di VM e le relative proprietà. Il cluster può avere più di un tipo di nodo, ma il tipo di nodo primario, ovvero il primo che si definisce nel portale, deve essere costituito da almeno cinque macchine virtuali, poiché in questo tipo di nodo si trovano i servizi di sistema di Service Fabric. Non è necessario configurare le proprietà relative alla posizione, perché una proprietà relativa alla posizione predefinita "NodeTypeName" viene aggiunta automaticamente.
Nota
Uno scenario comune per diversi tipi di nodi è costituito da un'applicazione contenente un servizio front-end e un servizio back-end. Si vuole inserire il servizio front-end in macchine virtuali più piccole, (ad esempio VM con dimensioni D2_V2), con porte aperte a Internet e il servizio back-end in macchine virtuali più grandi, (ad esempio VM con dimensioni D3_V2, D6_V2, D15_V2 e così via), senza porte con connessione Internet aperte.
- Scegliere un nome per il tipo di nodo (da 1 a 12 caratteri, contenenti solo lettere e numeri).
- Le dimensioni minime delle macchine virtuali per il tipo di nodo primario sono determinate dal livello di durabilità scelto per il cluster. Il valore predefinito per il livello di durabilità è Bronze. Per altre informazioni sulla durabilità, vedere come scegliere la durabilità di un cluster di Service Fabric.
- Selezionare le dimensioni delle macchine virtuali. Le macchine virtuali della serie D dispongono di unità SSD e sono consigliate per applicazioni con stato. Non usare SKU di VM con core parziali o meno di 10 GB di capacità disco disponibile. Fare riferimento a documento sulle considerazioni di pianificazione del cluster di service fabric per informazioni su come selezionare le dimensioni della VM.
- I cluster a un solo nodo e a tre nodi vengono usati solo a scopo di test. Non sono supportati per l'esecuzione di nessun carico di lavoro di produzione.
- Scegliere la capacità iniziale del set di scalabilità di macchine virtuali per il tipo di nodo. È possibile aumentare o ridurre il numero di macchine virtuali in un tipo di nodo in un secondo momento ma, per il tipo di nodo primario, il minimo è cinque per i carichi di lavoro di produzione. Gli altri tipi di nodo possono avere al minimo una macchina virtuale. Il numero minimo di macchine virtuali per il tipo di nodo primario determina il livello di affidabilità del cluster.
- Configurare gli endpoint personalizzati. Questo campo consente di immettere un elenco di porte delimitato da virgole che si desidera esporre tramite Azure Load Balancer alla rete Internet pubblica per le applicazioni. Ad esempio, se si prevede di distribuire un'applicazione Web nel cluster, immettere "80" per consentire il traffico sulla porta 80 del cluster. Per altre informazioni sugli endpoint, vedere Comunicazioni con le applicazioni
- Abilitare il proxy inverso. Il proxy inverso di Service Fabric consente ai microservizi in esecuzione in un cluster di Service Fabric di rilevare e comunicare con altri servizi che hanno endpoint HTTP.
- Tornare al pannello Configurazione cluster e in + Mostra impostazioni facoltative configurare la diagnostica del cluster. Per impostazione predefinita, la diagnostica è abilitata nel cluster come supporto per la risoluzione dei problemi. Per disabilitare la diagnostica, impostare lo stato su No. Non è consigliabile disattivare la diagnostica. Se si dispone già di un progetto di Application Insights creato, assegnare le rispettive chiavi in modo che le analisi dello stack dell'applicazione vengano indirizzate verso il progetto.
- Includere il servizio DNS. Il servizio DNS è un servizio facoltativo che consente di trovare altri servizi che usano il protocollo DNS.
- Selezionare la modalità di aggiornamento di Fabric che si vuole impostare per il cluster. Selezionare Automatic(Automatici) se si vuole che il sistema acquisisca automaticamente la versione più recente disponibile e provi ad aggiornare il cluster. Impostare la modalità su Manual(Manuali) se si vuole scegliere una versione supportata. Per altri dettagli sulla modalità di aggiornamento di Fabric, vedere il documento Aggiornare la versione di Service Fabric di un cluster.
Nota
Microsoft supporta solo i cluster che eseguono versioni supportate di Service Fabric. Selezionando la modalità Manual (Manuali), l'utente si assume la responsabilità di aggiornare il cluster a una versione supportata.
3. Security
Per facilitare l'impostazione di un cluster di test sicuro per l'utente, Microsoft ha fornito l'opzione Basic. Se si ha già un certificato caricato nell'insieme di credenziali delle chiavi e tale insieme è abilitato per la distribuzione, usare l'opzione Personalizzata.
Opzione di base
Seguire le schermate per aggiungere o usare di nuovo un insieme di credenziali delle chiavi e aggiungere un certificato. L'aggiunta del certificato è un processo sincrono e pertanto sarà necessario attendere che il certificato venga creato.
Resistere alla tentazione di uscire dalla schermata finché non viene completato il processo precedente.
Una volta creato l'insieme di credenziali delle chiavi, modificare i criteri di accesso per tale insieme.
Fare clic su Modifica i criteri di accesso per, selezionare Fare clic per visualizzare i criteri di accesso avanzati e quindi abilitare l'accesso alle macchine virtuali di Azure per la distribuzione. È consigliabile abilitare anche la distribuzione del modello. Dopo aver effettuato le selezioni, non dimenticare di fare clic sul pulsante Salva e uscire dal riquadro Criteri di accesso.
Immettere il nome del certificato e fare clic su OK.
Opzione Personalizzata
Ignorare questa sezione, se è stato già eseguita la procedura nell'opzione Basic.
Per completare la pagina di sicurezza, sono necessarie le informazioni relative all'insieme di credenziali delle chiavi di origine e all'URL e all'identificazione personale del certificato. Se queste informazioni non sono a disposizione, aprire un'altra finestra del browser e nel portale di Azure eseguire le operazioni seguenti
Passare al servizio Key Vault.
Selezionare la scheda "Proprietà" e copiare 'ID RISORSA' in "Insieme delle credenziali delle chiave di origine" nell'altra finestra del browser
A questo punto, selezionare la scheda "Certificati".
Fare clic sull'identificazione personale del certificato, che consente di passare alla pagina delle versioni.
Fare clic sui GUID visualizzati per la versione corrente.
Ora si dovrebbe visualizzare la schermata seguente. Copiare l'identificazione personale SHA-1 esadecimale in "Identificazione personale certificato" nell'altra finestra del browser
Copiare 'Identificatore del segreto' in 'URL del certificato' nell'altra finestra del browser.
Selezionare la casella Configura impostazioni avanzate per l'immissione dei certificati client per amministratore client e client di sola lettura. In questi campi, immettere l'identificazione personale del certificato client amministratore e l'identificazione personale del certificato client utente di sola lettura, se applicabile. Quando gli amministratori provano a connettersi al cluster, viene concesso l'accesso solo se hanno un certificato con identificazione personale corrispondente ai valori di identificazione personale immessi in questi campi.
4. Riepilogo
A questo momento si è pronti per distribuire il cluster. Prima di procedere, scaricare il certificato, cercare all'interno della grande casella informativa blu il collegamento. Assicurarsi di mantenere il certificato in un luogo sicuro. è necessario per connettersi al cluster. Poiché il certificato che è stato scaricato non ha una password, è consigliabile aggiungere uno.
Per completare la creazione del cluster fare clic su Crea. È possibile, facoltativamente, scaricare il modello.
È possibile visualizzare lo stato di avanzamento del processo di creazione nell'area delle notifiche: fare clic sull'icona a forma di campana accanto alla barra di stato nell'angolo superiore destro della schermata. Se durante la creazione del cluster si è fatto clic su Aggiungi alla Schermata iniziale durante la creazione del cluster, la voce Distribuzione di Cluster di Service Fabric viene aggiunta alla schermata iniziale. Questo processo richiede del tempo.
Per eseguire operazioni di gestione nel cluster tramite Powershell o l'interfaccia della riga di comando, è necessario connettersi al cluster. Per altre informazioni, vedere l'articolo relativo alla connessione al cluster.
Visualizzare lo stato del cluster
Al termine della creazione del cluster è possibile esaminare il cluster nel portale.
- Selezionare Sfoglia e fare clic su Cluster di Service Fabric.
- Trovare il cluster e selezionarlo.
- È ora possibile visualizzare i dettagli del cluster nel dashboard, inclusi l'endpoint pubblico del cluster e un link per Service Fabric Explorer.
La sezione Node Monitor (Monitoraggio dei nodi) nel pannello del dashboard del cluster indica il numero di macchine virtuali integre e di quelle non integre. Per altre informazioni sull'integrità del cluster, vedere Introduzione al monitoraggio dell'integrità di Service Fabric.
Nota
I cluster di Service Fabric richiedono che sia sempre attivo un certo numero di nodi allo scopo di mantenere la disponibilità e lo stato, ossia per "mantenere il quorum". Di conseguenza, in genere non è sicuro arrestare tutti i computer del cluster se prima non è stato eseguito un backup completo dello stato.
Connessione remota a un'istanza di set di scalabilità di macchine virtuali o a un nodo del cluster
Ognuno dei tipi di nodo specificati nel cluster determina la configurazione di un set di scalabilità di macchine virtuali.
Passaggi successivi
A questo punto, è stato creato un cluster protetto tramite i certificati per l'autenticazione di gestione. Successivamente, connettersi al cluster e scoprire come gestire i segreti delle applicazioni. Vedere anche Service Fabric support options (Opzioni di supporto di Service Fabric).