Ağ
Azure Service Fabric kümelerini oluşturup yönetirken düğümleriniz ve uygulamalarınız için ağ bağlantısı sağlarsınız. Ağ kaynakları IP adresi aralıklarını, sanal ağları, yük dengeleyicileri ve ağ güvenlik gruplarını içerir. Bu makalede, bu kaynaklar için en iyi yöntemleri öğreneceksiniz.
Şu özellikleri kullanan kümeler oluşturmayı öğrenmek için Azure Service Fabric Ağ Desenleri'ni gözden geçirin: Mevcut sanal ağ veya alt ağ, Statik genel IP adresi, Yalnızca iç yük dengeleyici veya İç ve dış yük dengeleyici.
Altyapı Ağı
Hızlandırılmış Ağ ile Sanal Makinenizin performansını en üst düzeye çıkarın. Resource Manager şablonunuzda enableAcceleratedNetworking özelliğini bildirerek aşağıdaki kod parçacığı, Hızlandırılmış Ağ'ı etkinleştiren bir Sanal Makine Ölçek Kümesi AğıInterfaceConfigurations'dır:
"networkInterfaceConfigurations": [
{
"name": "[concat(variables('nicName'), '-0')]",
"properties": {
"enableAcceleratedNetworking": true,
"ipConfigurations": [
{
<snip>
}
],
"primary": true
}
}
]
Service Fabric kümesi Hızlandırılmış Ağ ile Linux ve Hızlandırılmış Ağ ile Windows üzerinde sağlanabilir.
Hızlandırılmış Ağ, Azure Sanal Makine Serisi SKU'ları için desteklenir: D/DSv2, D/DSv3, E/ESv3, F/FS, FSv2 ve Ms/Mms. Hızlandırılmış Ağ, Service Fabric Windows Kümesi için 23.01.2019 tarihinde Standard_DS8_v3 SKU'su ve Service Fabric Linux Kümesi için 29.01.2019 tarihinde Standard_DS12_v2 kullanılarak başarıyla test edilmiştir. Hızlandırılmış Ağ için en az 4 vCPU gerektiğini unutmayın.
Mevcut bir Service Fabric kümesinde Hızlandırılmış Ağ'ı etkinleştirmek için, aşağıdaki adımları gerçekleştirmek için önce bir Sanal Makine Ölçek Kümesi ekleyerek bir Service Fabric kümesini ölçeklendirmeniz gerekir:
- Hızlandırılmış Ağ etkinleştirilmiş bir NodeType sağlama
- Hizmetlerinizi ve durumlarını Hızlandırılmış Ağ etkinleştirilmiş olarak sağlanan NodeType'a geçirme
Bir kullanılabilirlik kümesindeki tüm sanal makinelerin mevcut NIC'lerde Hızlandırılmış ağ etkinleştirilmeden önce durdurulması ve serbest bırakılması gerektiğinden, Hızlandırılmış Ağın yerinde etkinleştirilmesi kapalı kalma süresine neden olacağından, mevcut bir kümede Hızlandırılmış Ağ'ı etkinleştirmek için altyapının ölçeğini genişletmeniz gerekir.
Küme Ağı
Service Fabric kümeleri, Service Fabric ağ desenleri bölümünde açıklanan adımlar izlenerek mevcut bir sanal ağa dağıtılabilir.
Kümelerine gelen ve giden trafiği kısıtlamak için düğüm türleri için ağ güvenlik grupları (NSG' ler) önerilir. Gerekli bağlantı noktalarının NSG'de açıldığından emin olun.
Service Fabric sistem hizmetlerini içeren birincil düğüm türünün dış yük dengeleyici aracılığıyla kullanıma sunılması gerekmez ve iç yük dengeleyici tarafından kullanıma sunılabilir
Kümeniz için statik bir genel IP adresi kullanın.
Ağ Güvenlik Kuralları
Daha sonra açıklanan kurallar, tipik bir yapılandırma için önerilen en düşük değerdir. İsteğe bağlı kurallar istenmiyorsa işletimsel küme için hangi kuralların zorunlu olduğunu da ekleriz. Azure Bastion gibi ağ eşlemesi ve sıçrama kutusu kavramlarıyla eksiksiz bir güvenlik kilitlemesi sağlar. Zorunlu bağlantı noktalarının açılmaması veya IP/URL'nin onaylanmaması kümenin düzgün çalışmasını engeller ve desteklenmeyebilir.
Gelen
| Öncelik | Name | Bağlantı noktası | Protokol | Kaynak | Hedef | Eylem | Zorunlu |
|---|---|---|---|---|---|---|---|
| 3900 | Azure portal | 19080 | TCP | ServiceFabric | Tümü | İzin Ver | Yes |
| 3910 | İstemci API'si | 19000 | TCP | İnternet | Tümü | İzin Ver | Hayır |
| 3920 | SFX + İstemci API'si | 19080 | TCP | İnternet | Tümü | İzin Ver | Hayır |
| 3930 | Küme | 1025-1027 | TCP | VirtualNetwork | Tümü | İzin Ver | Yes |
| 3940 | Geçici | 49152-65534 | TCP | VirtualNetwork | Tümü | İzin Ver | Yes |
| 3950 | Uygulama | 20000-30000 | TCP | VirtualNetwork | Tümü | İzin Ver | Yes |
| 3960 | RDP | 3389 | TCP | İnternet | Herhangi biri | Reddet | Hayır |
| 3970 | SSH | 22 | TCP | İnternet | Herhangi biri | Reddet | Hayır |
| 3980 | Özel uç nokta | 443 | TCP | İnternet | Herhangi biri | Reddet | Hayır |
Gelen güvenlik kuralları hakkında daha fazla bilgi:
Azure portalı. Bu bağlantı noktası Service Fabric Kaynak Sağlayıcısı tarafından, Azure Yönetim Portalı'nda görüntülemek üzere kümenizle ilgili bilgileri sorgulamak için kullanılır. Bu bağlantı noktasına Service Fabric Kaynak Sağlayıcısı'ndan erişilemiyorsa, Azure portalında 'Düğümler Bulunamadı' veya 'UpgradeServiceNotReachable' gibi bir ileti görürsünüz ve düğüm ve uygulama listeniz boş görünür. Bu, Azure Yönetim Portalı'nda kümenizin görünürlüğünü elde etmek istiyorsanız yük dengeleyicinizin genel bir IP adresi kullanıma sunması ve NSG'nizin gelen 19080 trafiğine izin vermesi gerektiği anlamına gelir. Bu bağlantı noktası, daha yüksek güvenilirlik sağlamak üzere Service Fabric Kaynak Sağlayıcısı'ndan genişletilmiş yönetim işlemleri için önerilir.
İstemci API'si. PowerShell tarafından kullanılan API'ler için istemci bağlantı uç noktası.
SFX + İstemci API'si. Bu bağlantı noktası Service Fabric Explorer tarafından kümenize göz atmak ve kümenizi yönetmek için kullanılır. REST/PowerShell (Microsoft.ServiceFabric.PowerShell.Http)/CLI/.NET gibi en yaygın API'ler tarafından aynı şekilde kullanılır.
Küme. Düğümler arası iletişim için kullanılır.
Kısa ömürlü. Service Fabric bu bağlantı noktalarının bir bölümünü uygulama bağlantı noktaları olarak kullanır ve kalanlar işletim sistemi için kullanılabilir. Ayrıca bu aralığı işletim sisteminde mevcut olan aralıkla eşler, bu nedenle tüm amaçlar için buradaki örnekte verilen aralıkları kullanabilirsiniz. Başlangıç ve bitiş bağlantı noktaları arasındaki farkın en az 255 olduğundan emin olun. Bu aralık işletim sistemiyle paylaşıldığından, bu fark çok düşükse çakışmalarla karşılaşabilirsiniz. Yapılandırılmış dinamik bağlantı noktası aralığını görmek için netsh int ipv4 show dynamicport tcp komutunu çalıştırın. Bu bağlantı noktaları Linux kümeleri için gerekli değildir.
Uygulama. Uygulama bağlantı noktası aralığı, uygulamalarınızın uç nokta gereksinimini karşılayacak kadar büyük olmalıdır. Bu aralık, makinedeki dinamik bağlantı noktası aralığından (yapılandırmada ayarlandığı şekilde ephemeralPorts aralığı) özel olmalıdır. Service Fabric, yeni bağlantı noktaları gerektiğinde bu bağlantı noktalarını kullanır ve düğümlerde bu bağlantı noktaları için güvenlik duvarını açma işlemini üstlenir.
RDP. İsteğe bağlı olarak, sıçrama kutusu senaryoları için İnternet'ten veya VirtualNetwork'ten RDP gerekiyorsa.
SSH. İsteğe bağlı olarak, sıçrama kutusu senaryoları için İnternet'ten veya VirtualNetwork'ten SSH gerekiyorsa.
Özel uç nokta. İnternet'e erişilebilir bir uç noktayı etkinleştirmek için uygulamanız için bir örnek.
Not
Kaynak olarak İnternet'e sahip kuralların çoğu için, ideal olarak CIDR bloğu tarafından tanımlanan bilinen ağınızla kısıtlamayı göz önünde bulundurun.
Giden
| Öncelik | Name | Bağlantı noktası | Protokol | Kaynak | Hedef | Eylem | Zorunlu |
|---|---|---|---|---|---|---|---|
| 4010 | Kaynak Sağlayıcısı | 443 | TCP | Tümü | ServiceFabric | İzin Ver | Yes |
| 4020 | İkili dosyaları indirme | 443 | TCP | Tümü | AzureFrontDoor.FirstParty | İzin Ver | Yes |
Giden güvenlik kuralları hakkında daha fazla bilgi:
Kaynak Sağlayıcısı. ARM dağıtımları gibi yönetim işlemlerini veya tohum düğümü seçimi veya birincil düğüm türü yükseltmesi gibi zorunlu işlemleri almak için UpgradeService ile Service Fabric kaynak sağlayıcısı arasındaki bağlantı.
İkili dosyalar'ı indirin. Yükseltme hizmeti ikili dosyaları almak için adres download.microsoft.com kullanıyor, bu ilişki kurulum, yeniden görüntü ve çalışma zamanı yükseltmeleri için gereklidir. "Yalnızca iç" yük dengeleyici senaryosunda, 443 numaralı bağlantı noktası için giden trafiğe izin veren bir kuralla ek bir dış yük dengeleyici eklenmelidir. İsteğe bağlı olarak, bu bağlantı noktası başarılı bir kurulumdan sonra engellenebilir, ancak bu durumda yükseltme paketinin düğümlere dağıtılması veya bağlantı noktasının kısa bir süre boyunca açılması gerekir; daha sonra el ile yükseltme gerekir.
Bağlantı sorunlarını izlemek için NSG akış günlüğü ve trafik analizi ile Azure Güvenlik Duvarı kullanın. NSG içeren ARM şablonu Service Fabric, başlamak için iyi bir örnektir.
Not
Düğümler arasındaki iletişimi sağladığından varsayılan ağ güvenlik kurallarının üzerine yazılmamalıdır. Ağ Güvenlik Grubu - Nasıl çalışır? Başka bir örnek olarak, Sertifika İptal Listesi denetimini yapmak için 80 numaralı bağlantı noktasında giden bağlantı gereklidir.
Ek kurallara ihtiyaç duyan yaygın senaryolar
Tüm ek senaryolar Azure Hizmet Etiketleri ile ele alınabilir.
Azure DevOps
Azure DevOps'taki (Hizmet Etiketi: AzureCloud) klasik PowerShell görevlerinin kümeye İstemci API'sine erişimi olması gerekir; örnek olarak uygulama dağıtımları veya işletimsel görevler verilebilir. Bu, ARM uygulama kaynakları da dahil olmak üzere yalnızca ARM şablonları yaklaşımı için geçerli değildir.
| Öncelik | Name | Bağlantı noktası | Protokol | Kaynak | Hedef | Eylem | Yön |
|---|---|---|---|---|---|---|---|
| 3915 | Azure DevOps | 19000 | TCP | AzureCloud | Tümü | İzin Ver | Gelen |
Windows'un güncelleştirilmesi
Windows işletim sistemine düzeltme eki uygulamak için en iyi yöntem, işletim sistemi diskini otomatik işletim sistemi görüntü yükseltmeleriyle değiştirmektir; ek kural gerekmez. Düzeltme Eki Düzenleme Uygulaması, Windows Güncelleştirmelerinin işletim sistemi düzeltme eklerini uyguladığı VM içi yükseltmeleri yönetiyor. Bunun güncelleştirme ikili dosyalarını indirmek için İndirme Merkezi'ne (Hizmet Etiketi: AzureUpdateDelivery) erişmesi gerekiyor.
| Öncelik | Name | Bağlantı noktası | Protokol | Kaynak | Hedef | Eylem | Yön |
|---|---|---|---|---|---|---|---|
| 4015 | Windows Güncelleştirmeleri | 443 | TCP | Tümü | AzureUpdateDelivery | İzin Ver | Giden |
API Management
Azure API Management tümleştirmesi (Hizmet Etiketi: ApiManagement), kümeden uç nokta bilgilerini sorgulamak için İstemci API'sine erişim gerektirir.
| Öncelik | Name | Bağlantı noktası | Protokol | Kaynak | Hedef | Eylem | Yön |
|---|---|---|---|---|---|---|---|
| 3920 | API Management | 19080 | TCP | ApiManagement | Tümü | İzin Ver | Gelen |
Uygulama Ağı
Windows kapsayıcı iş yüklerini çalıştırmak için hizmet-hizmet iletişimlerini kolaylaştırmak için açık ağ modunu kullanın.
80 veya 443 gibi yaygın uygulama bağlantı noktalarını kullanıma açmak için Traefik veya Service Fabric ters ara sunucusu gibi bir ters proxy kullanın.
Azure bulut depolamadan temel katmanları çekemeyen havayla eşlenen makinelerde barındırılan Windows Kapsayıcıları için Docker daemon'unda --allow-nondistributable-artifacts bayrağını kullanarak yabancı katman davranışını geçersiz kılın.
Sonraki adımlar
- Windows Server çalıştıran VM'lerde veya bilgisayarlarda küme oluşturma: Windows Server için Service Fabric kümesi oluşturma
- Linux çalıştıran VM'lerde veya bilgisayarlarda küme oluşturma: Linux kümesi oluşturma
- Service Fabric destek seçenekleri hakkında bilgi edinin