Criar um cluster do Service Fabric no Azure usando o portal do Azure
Este artigo é um guia passo a passo que o orienta pelas etapas de configuração de um cluster do Service Fabric (Linux ou Windows) no Azure usando o portal do Azure. Este guia orienta você pelas seguintes etapas:
- Crie um cluster no Azure através do portal do Azure.
- Autentique administradores usando certificados.
Nota
Para opções de segurança mais avançadas, como autenticação de usuário com ID do Microsoft Entra e configuração de certificados para segurança de aplicativos, crie seu cluster usando o Gerenciador de Recursos do Azure.
Segurança do cluster
Os certificados são utilizados no Service Fabric para fornecer autenticação e encriptação para proteger diferentes aspetos de um cluster e as respetivas aplicações. Para obter mais informações sobre como os certificados são utilizados no Service Fabric, consulte Service Fabric cluster security scenarios (Cenários de segurança do cluster do Service Fabric).
Se esta for a primeira vez que você está criando um cluster de malha de serviço ou está implantando um cluster para cargas de trabalho de teste, você pode pular para a próxima seção (Criar cluster no portal do Azure) e fazer com que o sistema gere os certificados necessários para seus clusters que executam cargas de trabalho de teste. Se você estiver configurando um cluster para cargas de trabalho de produção, continue lendo.
Certificado de cluster e servidor (obrigatório)
Esse certificado é necessário para proteger um cluster e impedir o acesso não autorizado a ele. Ele fornece segurança de cluster de duas maneiras:
- Autenticação de cluster: autentica a comunicação nó a nó para federação de cluster. Somente os nós que podem provar sua identidade com esse certificado podem ingressar no cluster.
- Autenticação do servidor: autentica os pontos de extremidade de gerenciamento de cluster em um cliente de gerenciamento, para que o cliente de gerenciamento saiba que está falando com o cluster real. Este certificado também fornece TLS para a API de gerenciamento HTTPS e para o Service Fabric Explorer sobre HTTPS.
Para estes efeitos, o certificado deve satisfazer os seguintes requisitos:
- O certificado deve conter uma chave privada.
- O certificado deve ser criado para troca de chaves, exportável para um arquivo de troca de informações pessoais (.pfx).
- O nome do assunto do certificado deve corresponder ao domínio usado para acessar o cluster do Service Fabric. Isso é necessário para fornecer TLS para os pontos de extremidade de gerenciamento HTTPS do cluster e o Service Fabric Explorer. Não é possível obter um certificado TLS/SSL de uma autoridade de certificação (CA) para o
.cloudapp.azure.com
domínio. Adquira um nome de domínio personalizado para o cluster. Quando você solicita um certificado de uma autoridade de certificação, o nome do assunto do certificado deve corresponder ao nome de domínio personalizado usado para o cluster. - A lista de nomes DNS do certificado deve incluir o FQDN (Nome de Domínio Totalmente Qualificado) do cluster.
Certificados de autenticação de cliente
Certificados de cliente extras autenticam administradores para tarefas de gerenciamento de cluster. O Service Fabric tem dois níveis de acesso: administrador e usuário somente leitura. Deve ser utilizado, no mínimo, um único certificado de acesso administrativo. Para acesso extra em nível de usuário, um certificado separado deve ser fornecido. Para obter mais informações sobre funções de acesso, consulte Controle de acesso baseado em função para clientes do Service Fabric.
Não é necessário carregar certificados de autenticação de cliente no Cofre da Chave para trabalhar com o Service Fabric. Esses certificados só precisam ser fornecidos aos usuários autorizados para gerenciamento de cluster.
Nota
O Microsoft Entra ID é a maneira recomendada de autenticar clientes para operações de gerenciamento de cluster. Para usar a ID do Microsoft Entra, você deve criar um cluster usando o Gerenciador de Recursos do Azure.
Certificados de candidatura (opcional)
Qualquer número de certificados extras pode ser instalado em um cluster para fins de segurança do aplicativo. Antes de criar seu cluster, considere os cenários de segurança do aplicativo que exigem que um certificado seja instalado nos nós, como:
- Criptografia e descriptografia de valores de configuração do aplicativo
- Criptografia de dados entre nós durante a replicação
Os certificados de aplicativo não podem ser configurados ao criar um cluster por meio do portal do Azure. Para configurar certificados de aplicativo no momento da configuração do cluster, você deve criar um cluster usando o Azure Resource Manager. Você também pode adicionar certificados de aplicativo ao cluster depois que ele for criado.
Criar cluster no portal do Azure
Criar um cluster de produção para atender às necessidades do seu aplicativo envolve algum planejamento, para ajudá-lo com isso, é altamente recomendável que você leia e compreenda o documento de considerações de planejamento do Cluster do Service Fabric.
Pesquisar o recurso de cluster do Service Fabric
Inicie sessão no portal do Azure. Clique em Criar um recurso para adicionar um novo modelo de recurso. Procure o modelo de Cluster do Service Fabric no Marketplace em Tudo. Selecione Cluster do Service Fabric na lista.
Navegue até a folha Cluster do Service Fabric e clique em Criar.
A folha Criar cluster do Service Fabric tem as quatro etapas a seguir:
1. Noções básicas
Na folha Noções básicas, você precisa fornecer os detalhes básicos para o cluster.
Insira o nome do cluster.
Insira um Nome de usuário e senha para a Área de Trabalho Remota para as VMs.
Certifique-se de selecionar a Assinatura na qual você deseja que seu cluster seja implantado, especialmente se você tiver várias assinaturas.
Crie um novo grupo de recursos. É melhor dar-lhe o mesmo nome que o cluster, pois ajuda a encontrá-los mais tarde, especialmente quando você está tentando fazer alterações na implantação ou excluir o cluster.
Nota
Embora você possa decidir usar um grupo de recursos existente, é uma boa prática criar um novo grupo de recursos. Isso facilita a exclusão de clusters e todos os recursos que ele usa.
Selecione o local no qual você deseja criar o cluster. Se estiver a planear utilizar um certificado existente que já carregou para um cofre de chaves, tem de utilizar a mesma região em que se encontra o cofre de chaves.
2. Configuração do cluster
Configure os nós do cluster. Os tipos de nó definem os tamanhos das VMs, o número de VMs e suas propriedades. Seu cluster pode ter mais de um tipo de nó, mas o tipo de nó primário (o primeiro que você define no portal) deve ter pelo menos cinco VMs, pois esse é o tipo de nó onde os serviços do sistema Service Fabric são colocados. Não configure Propriedades de Posicionamento porque uma propriedade de posicionamento padrão de "NodeTypeName" é adicionada automaticamente.
Nota
Um cenário comum para vários tipos de nó é um aplicativo que contém um serviço front-end e um serviço back-end. Você deseja colocar o serviço front-end em VMs menores (tamanhos de VM como D2_V2) com portas abertas para a Internet e colocar o serviço back-end em VMs maiores (com tamanhos de VM como D3_V2, D6_V2, D15_V2 e assim por diante) sem portas voltadas para a Internet abertas.
- Escolha um nome para o tipo de nó (1 a 12 caracteres contendo apenas letras e números).
- O tamanho mínimo das VMs para o tipo de nó primário é determinado pela camada de Durabilidade escolhida para o cluster. O padrão para o nível de durabilidade é bronze. Para obter mais informações sobre durabilidade, consulte como escolher a durabilidade do cluster do Service Fabric.
- Selecione o tamanho da máquina virtual. As VMs da série D têm unidades SSD e são altamente recomendadas para aplicativos com monitoração de estado. Não use nenhum SKU de VM que tenha núcleos parciais ou menos de 10 GB de capacidade de disco disponível. Consulte o documento de consideração de planejamento de cluster do service fabric para obter ajuda na seleção do tamanho da VM.
- O cluster de nó único e os clusters de três nós destinam-se apenas ao uso de teste. Eles não são suportados para nenhuma carga de trabalho de produção em execução.
- Escolha a capacidade do conjunto de escala inicial da máquina virtual para o tipo de nó. Você pode dimensionar ou reduzir o número de VMs em um tipo de nó mais tarde, mas no tipo de nó primário, o mínimo é cinco para cargas de trabalho de produção. Outros tipos de nó podem ter no mínimo uma VM. O número mínimo de VMs para o tipo de nó primário aumenta a confiabilidade do cluster.
- Configure pontos de extremidade personalizados. Este campo permite que você insira uma lista separada por vírgulas de portas que você deseja expor por meio do Balanceador de Carga do Azure para a Internet pública para seus aplicativos. Por exemplo, se você planeja implantar um aplicativo Web no cluster, digite "80" aqui para permitir o tráfego na porta 80 para o cluster. Para obter mais informações sobre pontos de extremidade, consulte Comunicação com aplicativos
- Habilite o proxy reverso. O proxy reverso do Service Fabric ajuda os microsserviços em execução em um cluster do Service Fabric a descobrir e se comunicar com outros serviços que têm pontos de extremidade http.
- De volta à folha Configuração do cluster, em +Mostrar configurações opcionais, configure o diagnóstico do cluster. Por padrão, os diagnósticos são habilitados no cluster para ajudar na solução de problemas. Se quiser desativar o diagnóstico, altere o botão Status para Desativado. Não é recomendável desativar o diagnóstico. Se você já tiver o projeto do Application Insights criado, forneça sua chave, para que os rastreamentos do aplicativo sejam roteados para ele.
- Inclua o serviço DNS. O serviço DNS é um serviço opcional que permite encontrar outros serviços usando o protocolo DNS.
- Selecione o modo de atualização de malha para o qual você deseja definir seu cluster. Selecione Automático, se quiser que o sistema pegue automaticamente a versão mais recente disponível e tente atualizar seu cluster para ele. Defina o modo como Manual, se quiser escolher uma versão suportada. Para obter mais detalhes sobre o modo de atualização do Fabric, consulte o documento Atualização de Cluster do Service Fabric.
Nota
Suportamos apenas clusters que executam versões suportadas do Service Fabric. Ao selecionar o modo Manual , você assume a responsabilidade de atualizar seu cluster para uma versão suportada.
3. Segurança
Para facilitar a configuração de um cluster de teste seguro, fornecemos a opção Básica . Se você já tiver um certificado e o tiver carregado no cofre de chaves (e habilitado o cofre de chaves para implantação), use a opção Personalizar
Opção básica
Siga as telas para adicionar ou reutilizar um cofre de chaves existente e adicionar um certificado. A adição do certificado é um processo síncrono e, portanto, você terá que esperar que o certificado seja criado.
Resista à tentação de navegar para longe da tela até que o processo anterior seja concluído.
Agora que o cofre de chaves foi criado, edite as políticas de acesso para o cofre de chaves.
Clique em Editar políticas de acesso e, em seguida, em Mostrar políticas de acesso avançadas e habilite o acesso às Máquinas Virtuais do Azure para implantação. É recomendável que você habilite a implantação do modelo também. Depois de fazer suas seleções, não se esqueça de clicar no botão Salvar e fechar o painel Políticas de acesso .
Digite o nome do certificado e clique em OK.
Opção personalizada
Ignore esta seção, se você já tiver executado as etapas na opção básica .
Você precisa das informações do cofre da chave de origem, da URL do certificado e da impressão digital do certificado para concluir a página de segurança. Se você não tiver isso à mão, abra outra janela do navegador e, no portal do Azure, faça o seguinte
Navegue até o serviço de cofre de chaves.
Selecione a guia "Propriedades" e copie o 'RESOURCE ID' para "Source key vault" na outra janela do navegador
Agora, selecione a guia "Certificados".
Clique na impressão digital do certificado, que o levará à página Versões.
Clique nos GUIDs que você vê na versão atual.
Agora você deve estar na tela como abaixo. Copie a impressão digital hexadecimal SHA-1 para "Impressão digital do certificado" na outra janela do navegador
Copie o 'Identificador Secreto' para o "URL do Certificado" noutra janela do navegador.
Marque a caixa Configurar configurações avançadas para inserir certificados de cliente para cliente administrador e cliente somente leitura. Nesses campos, insira a impressão digital do certificado do cliente administrador e a impressão digital do certificado do cliente de usuário somente leitura, se aplicável. Quando os administradores tentam se conectar ao cluster, eles recebem acesso somente se tiverem um certificado com uma impressão digital que corresponda aos valores de impressão digital inseridos aqui.
4. Resumo
Agora você está pronto para implantar o cluster. Antes de fazer isso, baixe o certificado, olhe dentro da grande caixa de informações azul para o link. Certifique-se de manter o certificado em um local seguro. você precisa dele para se conectar ao seu cluster. Como o certificado que você baixou não tem uma senha, é aconselhável que você adicione uma.
Para concluir a criação do cluster, clique em Criar. Opcionalmente, você pode baixar o modelo.
Pode ver o progresso da criação nas notificações. (Clique no ícone "Sino" perto da barra de status no canto superior direito da tela.) Se você clicou em Fixar no Quadro Inicial ao criar o cluster, verá Implantando o Cluster do Service Fabric fixado no Quadro Inicial . Este processo demora algum tempo.
Para executar operações de gerenciamento em seu cluster usando PowerShell ou CLI, você precisa se conectar ao cluster, ler mais sobre como se conectar ao cluster.
Ver o estado do cluster
Depois que o cluster for criado, você poderá inspecioná-lo no portal:
- Vá para Procurar e clique em Clusters do Service Fabric.
- Localize o cluster e clique nele.
- Agora pode ver os detalhes do seu cluster no dashboard, incluindo o ponto final público do cluster e uma ligação para o Service Fabric Explorer.
A seção Monitor de Nó na folha do painel do cluster indica o número de VMs que estão íntegras e não íntegras. Você pode encontrar mais detalhes sobre a integridade do cluster em Introdução ao modelo de integridade do Service Fabric.
Nota
Os clusters do Service Fabric exigem que um determinado número de nós esteja sempre ativo para manter a disponibilidade e preservar o estado - conhecido como "manutenção do quórum". Portanto, normalmente não é seguro desligar todas as máquinas no cluster, a menos que você tenha executado primeiro um backup completo do seu estado.
Conexão remota a uma instância do Conjunto de Dimensionamento de Máquina Virtual ou a um nó de cluster
Cada um dos NodeTypes especificados no cluster resulta na configuração de um Conjunto de Dimensionamento de Máquina Virtual.
Próximos passos
Neste ponto, você tem um cluster seguro usando certificados para autenticação de gerenciamento. Em seguida, conecte-se ao cluster e saiba como gerenciar segredos de aplicativos. Além disso, saiba mais sobre as opções de suporte do Service Fabric.