Создание кластера Service Fabric в Azure с помощью портала Azure

В этой статье описывается пошаговое руководство по настройке кластера Service Fabric (Linux или Windows) в Azure с помощью портала Azure. В этом руководстве описаны следующие действия.

• Создайте кластер в Azure с помощью портала Azure.
• Проверка подлинности администраторов с помощью сертификатов.

Безопасность кластера

Сертификаты используются в Service Fabric для обеспечения проверки подлинности и шифрования для защиты различных аспектов кластера и его приложений. Дополнительные сведения об использовании сертификатов в Service Fabric см. в сценариях безопасности кластера Service Fabric.

Если вы впервые создаете кластер Service Fabric или развертываете кластер для тестовых рабочих нагрузок, перейдите к следующему разделу (Создание кластера на портале Azure) и создайте системные сертификаты, необходимые для кластеров, выполняющих тестовые рабочие нагрузки. Если вы настраиваете кластер для промышленных нагрузок, читайте дальше.

Сертификат кластера и сервера (обязательный)

Этот сертификат необходим для защиты кластера и предотвращения несанкционированного доступа к нему. Он обеспечивает безопасность кластера несколькими способами:

• Проверка подлинности кластера: Проверяет подлинность связи между узлами для федерации кластера. Только узлы, которые могут подтвердить удостоверение с помощью этого сертификата, могут присоединиться к кластеру.
• Проверка подлинности сервера: Проверяет подлинность конечных точек управления кластера в клиенте управления, чтобы клиент управления знал, что он разговаривает с реальным кластером. Этот сертификат также предоставляет TLS для API управления HTTPS и для Service Fabric Explorer по протоколу HTTPS.

Для выполнения этих целей сертификат должен соответствовать следующим требованиям:

• Сертификат должен содержать закрытый ключ.
• Сертификат должен быть создан для обмена ключами и может быть экспортирован в файл обмена личной информацией (.pfx).
• Имя субъекта сертификата должно соответствовать домену, используемому для доступа к кластеру Service Fabric. Это необходимо для предоставления TLS для конечных точек управления HTTPS кластера и Service Fabric Explorer. Сертификат TLS/SSL нельзя получить из центра сертификации (ЦС) для .cloudapp.azure.com домена. Получите имя личного домена для кластера. При запросе сертификата из ЦС имя субъекта сертификата должно соответствовать имени личного домена, используемого для кластера.
• Список DNS-имен сертификата должен содержать полное доменное имя кластера.

Сертификаты проверки подлинности клиента

Дополнительные клиентские сертификаты используются для аутентификации администраторов при выполнении задач управления кластерами. Service Fabric имеет два уровня доступа: администратор и пользователь только для чтения. Как минимум, следует использовать один сертификат для административного доступа. Для дополнительного доступа на уровне пользователя необходимо предоставить отдельный сертификат. Дополнительные сведения о ролях доступа см. в разделе "Управление доступом на основе ролей" для клиентов Service Fabric.

Для работы с Service Fabric вам не нужно отправлять сертификаты проверки подлинности клиента в Key Vault. Эти сертификаты необходимо предоставить пользователям, которым разрешено управление кластерами.

Сертификаты для приложений (необязательно)

Любое количество дополнительных сертификатов можно установить в кластере в целях безопасности приложений. Прежде чем создавать кластер, рассмотрите сценарии безопасности приложений, требующие установки сертификата на узлах, например:

• Шифрование и расшифровка значений конфигурации приложения
• Шифрование данных между узлами во время репликации

Сертификаты приложений нельзя настроить при создании кластера на портале Azure. Чтобы настроить сертификаты приложений во время установки кластера, необходимо создать кластер с помощью Azure Resource Manager. Вы также можете добавить сертификаты приложений в кластер после его создания.

Создание кластера на портале Azure

Создание рабочего кластера для удовлетворения потребностей приложения включает в себя некоторые планы, чтобы помочь вам с этим, рекомендуется прочитать и понять документ о планировании кластеров Service Fabric .

Поиск ресурса кластера Service Fabric

Войдите на портал Azure. Нажмите кнопку "Создать ресурс", чтобы добавить новый шаблон ресурса. Найдите шаблон кластера Service Fabric в Marketplace в разделе "Все". Выберите кластер Service Fabric из списка.

Перейдите на панель Service Fabric Cluster и нажмите Создать.

В колонке "Создание кластера Service Fabric " приведены четыре шага.

1. Основы

В панели "Основы" необходимо указать основные параметры вашего кластера.

1. Введите имя кластера.

2. Введите имя пользователя и пароль для удаленного рабочего стола для виртуальных машин.

3. Особенно если у вас несколько подписок, обязательно выберите подписку, в которую будет развернут кластер.

4. Создайте новую группу ресурсов. Лучше всего присвоить ему то же имя, что и кластер, так как он помогает найти их позже, особенно при попытке внести изменения в развертывание или удалить кластер.

   Note

   Хотя вы можете выбрать существующую группу ресурсов, рекомендуется создать новую группу ресурсов. Это упрощает удаление кластеров и всех ресурсов, которые он использует.

5. Выберите расположение , в котором нужно создать кластер. Если вы планируете использовать существующий сертификат, который вы уже отправили в хранилище ключей, необходимо использовать тот же регион, в который находится хранилище ключей.

2. Конфигурация кластера

Настройте узлы кластера. Типы узлов определяют размеры виртуальных машин, количество виртуальных машин и их свойства. Кластер может иметь несколько типов узлов, но основной тип узла (первый, который определяется на портале), должен иметь по крайней мере пять виртуальных машин, так как это тип узла, в котором размещаются системные службы Service Fabric. Не настраивайте свойства размещения, поскольку свойство размещения по умолчанию "NodeTypeName" добавляется автоматически.

1. Выберите имя типа узла (от 1 до 12 символов, содержащих только буквы и цифры).
2. Минимальный размер виртуальных машин для типа основного узла зависит от уровня устойчивости , выбранного для кластера. По умолчанию для уровня устойчивости используется бронза. Дополнительные сведения об устойчивости см. в статье о том, как выбрать устойчивость кластера Service Fabric.
3. Выберите размер виртуальной машины. Виртуальные машины серии D имеют SSD-диски и настоятельно рекомендуются для приложений с сохранением состояния. Не используйте SKU виртуальной машины с частичными процессорными ядрами или с доступным дисковым пространством менее 10 ГБ. Дополнительные сведения о выборе размера виртуальной машины см. в документе по планированию кластера Service Fabric .
4. Кластер с одним узлом и три кластера узлов предназначены только для тестового использования. Они не поддерживаются для текущих производственных нагрузок.
5. Выберите емкость начального масштабируемого набора виртуальных машин для типа узла. Вы можете масштабировать количество виртуальных машин в типе узла позже, но в типе основного узла минимальное значение — пять для рабочих нагрузок. Другие типы узлов могут иметь не менее одной виртуальной машины. Минимальное количество виртуальных машин для типа основного узла обеспечивает надежность кластера.
6. Настройка пользовательских конечных точек. Это поле позволяет ввести разделенный запятыми список портов, которые необходимо предоставить через Azure Load Balancer общедоступному Интернету для приложений. Например, если вы планируете развернуть веб-приложение в кластере, введите "80" здесь, чтобы разрешить трафик через порт 80 в кластер. Дополнительные сведения о конечных точках см. в разделе "Взаимодействие с приложениями".
7. Включите обратный прокси-сервер. Обратный прокси-сервер Service Fabric помогает микрослужбам, работающим в кластере Service Fabric, обнаруживать и взаимодействовать с другими службами, имеющими конечные точки HTTP.
8. Вернитесь на панель конфигурации кластера, под +Показать необязательные параметры, настройте диагностику кластера. По умолчанию диагностика включена в кластере для устранения неполадок. Если вы хотите отключить диагностику, измените переключатель "Состояние " на "Выкл. Отключение диагностики не рекомендуется. Если у вас уже создан проект Application Insights, укажите его ключ, чтобы трассировки приложений перенаправляются в него.
9. Включите службу DNS. Служба DNS является необязательной службой , которая позволяет находить другие службы с помощью протокола DNS.
10. Выберите режим обновления Fabric, который вы хотите задать для вашего кластера. Выберите "Автоматически", если вы хотите, чтобы система автоматически взяла последнюю доступную версию и попытается обновить кластер до него. Переключите режим на ручной, если вы хотите выбрать поддерживаемую версию. Дополнительные сведения о режиме обновления Fabric см. в документе об обновлении кластера Service Fabric.

3. Безопасность

Чтобы упростить настройку безопасного тестового кластера, мы предоставляем базовый вариант. Если у вас уже есть сертификат и он загружен в хранилище ключей (и хранилище ключей активировано для развертывания), используйте параметр Настраиваемый.

Базовый вариант

Следуйте экранам, чтобы добавить или повторно использовать существующее хранилище ключей и добавить сертификат. Добавление сертификата является синхронным процессом, поэтому вам придется ждать создания сертификата.

Сопротивляйтесь соблазну покидать экран, пока не завершится предыдущий процесс.

Теперь, когда хранилище ключей создано, измените политики доступа для хранилища ключей.

Щелкните "Изменить политики доступа", а затем "Показать расширенные политики доступа " и включить доступ к виртуальным машинам Azure для развертывания. Рекомендуется также активировать развертывание шаблона. После выбора не забудьте нажать кнопку "Сохранить " и закрыть область политик доступа .

Введите имя сертификата и нажмите кнопку "ОК".

Настраиваемый параметр

Пропустите этот раздел, если вы уже выполнили действия, описанные в разделе "Базовый ".

Чтобы завершить страницу безопасности, вам потребуется хранилище ключей источника, URL-адрес сертификата и отпечаток сертификата. Если у вас его нет под рукой, откройте новую вкладку браузера и на портале Azure сделайте следующее:

1. Перейдите в службу хранилища ключей.

2. Перейдите на вкладку "Свойства" и скопируйте идентификатор ресурса в исходное хранилище ключей в другом окне браузера.

   

3. Теперь выберите вкладку "Сертификаты".

4. Щелкните отпечаток сертификата, что приведёт вас на страницу версий.

5. Щелкните по GUID-ам, которые вы видите под текущей версией.

   

6. Теперь вы должны быть на экране, как показано на рисунке ниже. Скопируйте шестнадцатеричный отпечаток SHA-1 в "Отпечаток сертификата" в другом окне браузера.

7. Скопируйте "Секретный идентификатор" в поле "URL-адрес сертификата" в другом окне браузера.

   

Чтобы установить клиентские сертификаты для административного клиента и клиента только для чтения, отметьте флажок Настроить расширенные параметры. В этих полях введите отпечаток сертификата клиента администратора и отпечаток сертификата клиента только для чтения, если это применимо. Когда администраторы пытаются подключиться к кластеру, они получают доступ только в том случае, если у них есть сертификат с отпечатком, который соответствует значениям отпечатка, введенным здесь.

4. Сводка

Теперь вы будете готовы к развертыванию кластера. Прежде чем это сделать, скачайте сертификат и найдите ссылку в большом синем информационном блоке. Убедитесь, что сертификат хранится в безопасном месте, его необходимо подключить к кластеру. Так как скачанный сертификат не имеет пароля, рекомендуется добавить его.

Чтобы завершить создание кластера, нажмите кнопку "Создать". При необходимости можно скачать шаблон.

Ход создания можно увидеть в уведомлениях. (Щелкните значок "Колокольчик" рядом со строкой состояния в правом верхнем углу экрана.) Если вы нажмете кнопку "Закрепить на начальной панели " при создании кластера, вы увидите, как развертывание кластера Service Fabric закреплено на начальной доске. Этот процесс занимает некоторое время.

Чтобы выполнять операции управления в кластере с помощью PowerShell или CLI, необходимо подключиться к кластеру, дополнительные сведения о подключении к кластеру.

Просмотр состояния кластера

После создания кластера можно проверить кластер на портале:

1. Перейдите к разделу "Обзор " и щелкните "Кластеры Service Fabric".
2. Найдите кластер и щелкните его.
3. Теперь вы можете просмотреть сведения о кластере на панели мониторинга, включая общедоступную конечную точку кластера и ссылку на Service Fabric Explorer.

Раздел "Монитор узла " в колонке панели мониторинга кластера указывает количество виртуальных машин, которые являются работоспособными и не работоспособными. Дополнительные сведения о работоспособности кластера см. в обзоре модели работоспособности Service Fabric.

Удаленное подключение к экземпляру масштабируемого набора виртуальных машин или узлу кластера

Каждое из указанных вами типов узлов в вашем кластере приводит к созданию масштабируемого набора виртуальных машин.

Дальнейшие шаги

На этом этапе у вас есть безопасный кластер, использующий сертификаты для проверки подлинности управления. Затем подключитесь к кластеру и узнайте, как управлять секретами приложений. Кроме того, узнайте о вариантах поддержки Service Fabric.