Esercitazione: Aggiungere un endpoint HTTPS per un'applicazione di Service Fabric usando Kestrel

Questa esercitazione è la terza parte di una serie. Informazioni su come aggiungere un endpoint HTTPS in un servizio ASP.NET Core in esecuzione in Azure Service Fabric. Al termine, si dispone di un'applicazione di voto con un front-end Web di ASP.NET Core abilitato per HTTPS in ascolto sulla porta 443. Se non si vuole creare manualmente l'applicazione di voto nella prima parte della serie di esercitazioni, è possibile scaricare il codice sorgente per ottenere l'applicazione completata.

In questa esercitazione apprenderai a:

La serie di esercitazioni mostra come:

• Creare un'applicazione di Service Fabric .NET
• Distribuire l'applicazione in un cluster remoto
• Aggiungere un endpoint HTTPS a un servizio front-end ASP.NET Core (questa esercitazione)
• Configurare l'integrazione continua e il recapito continuo con Azure Pipelines
• Configurare il monitoraggio e la diagnostica per l'applicazione

Prerequisiti

Prima di iniziare questa esercitazione:

• Se non hai una sottoscrizione di Azure, crea un account gratuito.
• Installare Visual Studio 2019 versione 16.5 o successiva, inclusi il carico di lavoro Sviluppo di Azure e il carico di lavoro ASP.NET e sviluppo Web.
• Installare Service Fabric SDK.

Ottenere un certificato o creare un certificato di sviluppo autofirmato

Per le applicazioni di produzione, usare un certificato di un'autorità di certificazione (CA). Per finalità di sviluppo e test, è possibile creare e usare un certificato autofirmato. Service Fabric SDK include lo script CertSetup.ps1 . Lo script crea un certificato autofirmato e lo importa nell'archivio certificati Cert:\LocalMachine\My . Aprire una finestra del prompt dei comandi come amministratore ed eseguire il comando seguente per creare un certificato con l'oggetto "CN=mytestcert":

PS C:\program files\microsoft sdks\service fabric\clustersetup\secure> .\CertSetup.ps1 -Install -CertSubjectName CN=mytestcert

Se si dispone già di un file PFX (Personal Information Exchange), eseguire quanto segue per importare il certificato nell'archivio certificati Cert:\LocalMachine\My :

PS C:\mycertificates> Import-PfxCertificate -FilePath .\mysslcertificate.pfx -CertStoreLocation Cert:\LocalMachine\My -Password (ConvertTo-SecureString "!Passw0rd321" -AsPlainText -Force)


   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\My

Thumbprint                                Subject
----------                                -------
3B138D84C077C292579BA35E4410634E164075CD  CN=zwin7fh14scd.westus.cloudapp.azure.com

Definire un endpoint HTTPS nel manifesto del servizio

Aprire Visual Studio usando l'opzione Esegui come amministratore e quindi aprire la soluzione Voting. In Esplora soluzioni aprire VotingWeb/PackageRoot/ServiceManifest.xml. Il manifesto del servizio definisce gli endpoint di servizio. Trovare la Endpoints sezione e modificare il valore per ServiceEndpoint l'endpoint. Modificare il nome in EndpointHttps, impostare il protocollo su https, il tipo su Inpute la porta su 443. Salva le modifiche.

<?xml version="1.0" encoding="utf-8"?>
<ServiceManifest Name="VotingWebPkg"
                 Version="1.0.0"
                 xmlns="http://schemas.microsoft.com/2011/01/fabric"
                 xmlns:xsd="https://www.w3.org/2001/XMLSchema"
                 xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance">
  <ServiceTypes>
    <StatelessServiceType ServiceTypeName="VotingWebType" />
  </ServiceTypes>

  <CodePackage Name="Code" Version="1.0.0">
    <EntryPoint>
      <ExeHost>
        <Program>VotingWeb.exe</Program>
        <WorkingFolder>CodePackage</WorkingFolder>
      </ExeHost>
    </EntryPoint>
  </CodePackage>

  <ConfigPackage Name="Config" Version="1.0.0" />

  <Resources>
    <Endpoints>
      <Endpoint Protocol="https" Name="EndpointHttps" Type="Input" Port="443" />
    </Endpoints>
  </Resources>
</ServiceManifest>

Configurare Kestrel per l'uso di HTTPS

In Esplora soluzioni aprire il file VotingWeb/VotingWeb.cs. Configurare Kestrel per l'uso di HTTPS e per cercare il certificato nell'archivio Cert:\LocalMachine\My . Aggiungere le istruzioni using seguenti:

using System.Net;
using Microsoft.Extensions.Configuration;
using System.Security.Cryptography.X509Certificates;

Aggiornare il valore per per ServiceInstanceListener l'uso del nuovo EndpointHttps endpoint e per l'ascolto sulla porta 443. Quando si configura l'host Web per l'uso del server Kestrel, è necessario configurare Kestrel per l'ascolto degli indirizzi IPv6 in tutte le interfacce di rete: opt.Listen(IPAddress.IPv6Any, port, listenOptions => {...}.

new ServiceInstanceListener(
serviceContext =>
    new KestrelCommunicationListener(
        serviceContext,
        "EndpointHttps",
        (url, listener) =>
        {
            ServiceEventSource.Current.ServiceMessage(serviceContext, $"Starting Kestrel on {url}");

            return new WebHostBuilder()
                .UseKestrel(opt =>
                {
                    int port = serviceContext.CodePackageActivationContext.GetEndpoint("EndpointHttps").Port;
                    opt.Listen(IPAddress.IPv6Any, port, listenOptions =>
                    {
                        listenOptions.UseHttps(FindMatchingCertificateBySubject());
                        listenOptions.NoDelay = true;
                    });
                })
                .ConfigureAppConfiguration((builderContext, config) =>
                {
                    config.AddJsonFile("appsettings.json", optional: false, reloadOnChange: true);
                })

                .ConfigureServices(
                    services => services
                        .AddSingleton<HttpClient>(new HttpClient())
                        .AddSingleton<FabricClient>(new FabricClient())
                        .AddSingleton<StatelessServiceContext>(serviceContext))
                .UseContentRoot(Directory.GetCurrentDirectory())
                .UseStartup<Startup>()
                .UseServiceFabricIntegration(listener, ServiceFabricIntegrationOptions.None)
                .UseUrls(url)
                .Build();
        }))

Aggiungere quindi il metodo seguente in modo che Kestrel possa trovare il certificato nell'archivio Cert:\LocalMachine\My usando l'oggetto .

Sostituire <your_CN_value> con mytestcert se è stato creato un certificato autofirmato usando il comando di PowerShell precedente o usare il nome comune del certificato.

Se si usa una distribuzione locale in localhost, è consigliabile usare CN=localhost per evitare eccezioni di autenticazione.

private X509Certificate2 FindMatchingCertificateBySubject(string subjectCommonName)
{
    using (var store = new X509Store(StoreName.My, StoreLocation.LocalMachine))
    {
        store.Open(OpenFlags.OpenExistingOnly | OpenFlags.ReadOnly);
        var certCollection = store.Certificates;
        var matchingCerts = new X509Certificate2Collection();
    
    foreach (var enumeratedCert in certCollection)
    {
      if (StringComparer.OrdinalIgnoreCase.Equals(subjectCommonName, enumeratedCert.GetNameInfo(X509NameType.SimpleName, forIssuer: false))
        && DateTime.Now < enumeratedCert.NotAfter
        && DateTime.Now >= enumeratedCert.NotBefore)
        {
          matchingCerts.Add(enumeratedCert);
        }
    }

        if (matchingCerts.Count == 0)
    {
        throw new Exception($"Could not find a match for a certificate with subject 'CN={subjectCommonName}'.");
    }
        
        return matchingCerts[0];
    }
}

Concedere al servizio di rete l'accesso alla chiave privata del certificato

In un passaggio precedente il certificato è stato importato nell'archivio Cert:\LocalMachine\My nel computer di sviluppo.

A questo punto, assegnare in modo esplicito all'account che esegue il servizio (servizio di rete, per impostazione predefinita) l'accesso alla chiave privata del certificato. È possibile eseguire questo passaggio manualmente (usando lo strumento certlm.msc ), ma è preferibile eseguire uno script di PowerShell configurando uno script di avvio nel SetupEntryPoint manifesto del servizio.

Configurare il punto di ingresso dell'installazione del servizio

In Esplora soluzioni aprire VotingWeb/PackageRoot/ServiceManifest.xml. CodePackage Nella sezione aggiungere il SetupEntryPoint nodo e quindi aggiungere un ExeHost nodo. In ExeHostimpostare su Program Setup.bate su WorkingFolder CodePackage. All'avvio del servizio VotingWeb, lo script Setup.bat viene eseguito nella cartella CodePackage prima dell'avvio VotingWeb.exe .

<?xml version="1.0" encoding="utf-8"?>
<ServiceManifest Name="VotingWebPkg"
                 Version="1.0.0"
                 xmlns="http://schemas.microsoft.com/2011/01/fabric"
                 xmlns:xsd="https://www.w3.org/2001/XMLSchema"
                 xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance">
  <ServiceTypes>
    <StatelessServiceType ServiceTypeName="VotingWebType" />
  </ServiceTypes>

  <CodePackage Name="Code" Version="1.0.0">
    <SetupEntryPoint>
      <ExeHost>
        <Program>Setup.bat</Program>
        <WorkingFolder>CodePackage</WorkingFolder>
      </ExeHost>
    </SetupEntryPoint>

    <EntryPoint>
      <ExeHost>
        <Program>VotingWeb.exe</Program>
        <WorkingFolder>CodePackage</WorkingFolder>
      </ExeHost>
    </EntryPoint>
  </CodePackage>

  <ConfigPackage Name="Config" Version="1.0.0" />

  <Resources>
    <Endpoints>
      <Endpoint Protocol="https" Name="EndpointHttps" Type="Input" Port="443" />
    </Endpoints>
  </Resources>
</ServiceManifest>

Aggiungere gli script batch e di configurazione di PowerShell

Per eseguire PowerShell dal valore per SetupEntryPoint, è possibile eseguire PowerShell.exe in un file batch che punta a un file di PowerShell.

Per prima cosa, aggiungere il file batch al progetto del servizio. In Esplora soluzioni fare clic con il pulsante destro del mouse su VotingWeb e quindi scegliere Aggiungi>nuovo elemento. Aggiungere un nuovo file denominato Setup.bat. Modificare il file Setup.bat e aggiungere il comando seguente:

powershell.exe -ExecutionPolicy Bypass -Command ".\SetCertAccess.ps1"

Modificare le proprietà per il file Setup.bat per impostare Copia nella directory di output su Copia se più recente.

In Esplora soluzioni fare clic con il pulsante destro del mouse su VotingWeb. Selezionare quindi Aggiungi>nuovo elemento e aggiungere un nuovo file denominato SetCertAccess.ps1. Modificare il file SetCertAccess.ps1 per aggiungere lo script seguente:

$subject="mytestcert"
$userGroup="Network Service"

Write-Host "Checking permissions to certificate $subject.." -ForegroundColor DarkCyan

$cert = (gci Cert:\LocalMachine\My\ | where { $_.Subject.Contains($subject) })[-1]

if ($cert -eq $null)
{
    $message="Certificate with subject:"+$subject+" does not exist at Cert:\LocalMachine\My\"
    Write-Host $message -ForegroundColor Red
    exit 1;
}elseif($cert.HasPrivateKey -eq $false){
    $message="Certificate with subject:"+$subject+" does not have a private key"
    Write-Host $message -ForegroundColor Red
    exit 1;
}else
{
    $keyName=$cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName

    $keyPath = "C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\"

    if ($keyName -eq $null){
      $privateKey = [System.Security.Cryptography.X509Certificates.RSACertificateExtensions]::GetRSAPrivateKey($cert)      
      $keyName = $privateKey.Key.UniqueName
      $keyPath = "C:\ProgramData\Microsoft\Crypto\Keys"
    }

    $fullPath=$keyPath+$keyName
    $acl=(Get-Item $fullPath).GetAccessControl('Access')


    $hasPermissionsAlready = ($acl.Access | where {$_.IdentityReference.Value.Contains($userGroup.ToUpperInvariant()) -and $_.FileSystemRights -eq [System.Security.AccessControl.FileSystemRights]::FullControl}).Count -eq 1

    if ($hasPermissionsAlready){
        Write-Host "Account $userGroup already has permissions to certificate '$subject'." -ForegroundColor Green
        return $false;
    } else {
        Write-Host "Need add permissions to '$subject' certificate..." -ForegroundColor DarkYellow

        $permission=$userGroup,"Full","Allow"
        $accessRule=new-object System.Security.AccessControl.FileSystemAccessRule $permission
        $acl.AddAccessRule($accessRule)
        Set-Acl $fullPath $acl

        Write-Output "Permissions were added"

        return $true;
    }
}

Modificare le proprietà per il file SetCertAccess.ps1 per impostare Copia nella directory di output su Copia se più recente.

Eseguire lo script di installazione come amministratore

Per impostazione predefinita, l'eseguibile del punto di ingresso dell'installazione del servizio viene eseguito usando le stesse credenziali di Service Fabric(in genere, l'account del servizio di rete). SetCertAccess.ps1 richiede autorizzazioni di amministratore. Nel manifesto dell'applicazione, è possibile modificare le autorizzazioni di sicurezza per eseguire lo script di avvio con un account amministratore locale.

In Esplora soluzioni aprire Voting/ApplicationPackageRoot/ApplicationManifest.xml. Creare prima di tutto una Principals sezione e aggiungere un nuovo utente , ad esempio SetupAdminUser. Aggiungere l'account utente SetupAdminUser al gruppo di sistema Administrators.

Successivamente, nella ServiceManifestImport sezione VotingWebPkg configurare runAsPolicy per applicare l'entità SetupAdminUser al punto di ingresso dell'installazione. Questo criterio indica a Service Fabric che il file Setup.bat viene eseguito come SetupAdminUser (con autorizzazioni di amministratore).

<?xml version="1.0" encoding="utf-8"?>
<ApplicationManifest xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" ApplicationTypeName="VotingType" ApplicationTypeVersion="1.0.0" xmlns="http://schemas.microsoft.com/2011/01/fabric">
  <Parameters>
    <Parameter Name="VotingData_MinReplicaSetSize" DefaultValue="3" />
    <Parameter Name="VotingData_PartitionCount" DefaultValue="1" />
    <Parameter Name="VotingData_TargetReplicaSetSize" DefaultValue="3" />
    <Parameter Name="VotingWeb_InstanceCount" DefaultValue="-1" />
  </Parameters>
  <ServiceManifestImport>
    <ServiceManifestRef ServiceManifestName="VotingDataPkg" ServiceManifestVersion="1.0.0" />
    <ConfigOverrides />
  </ServiceManifestImport>
  <ServiceManifestImport>
    <ServiceManifestRef ServiceManifestName="VotingWebPkg" ServiceManifestVersion="1.0.0" />
    <ConfigOverrides />
    <Policies>
      <RunAsPolicy CodePackageRef="Code" UserRef="SetupAdminUser" EntryPointType="Setup" />
    </Policies>
  </ServiceManifestImport>
  <DefaultServices>
    <Service Name="VotingData">
      <StatefulService ServiceTypeName="VotingDataType" TargetReplicaSetSize="[VotingData_TargetReplicaSetSize]" MinReplicaSetSize="[VotingData_MinReplicaSetSize]">
        <UniformInt64Partition PartitionCount="[VotingData_PartitionCount]" LowKey="0" HighKey="25" />
      </StatefulService>
    </Service>
    <Service Name="VotingWeb" ServicePackageActivationMode="ExclusiveProcess">
      <StatelessService ServiceTypeName="VotingWebType" InstanceCount="[VotingWeb_InstanceCount]">
        <SingletonPartition />
      </StatelessService>
    </Service>
  </DefaultServices>
  <Principals>
    <Users>
      <User Name="SetupAdminUser">
        <MemberOf>
          <SystemGroup Name="Administrators" />
        </MemberOf>
      </User>
    </Users>
  </Principals>
</ApplicationManifest>

Eseguire l'applicazione in locale

In Esplora soluzioni selezionare l'applicazione Voting e impostare la proprietà APPLICATION URL su https://localhost:443.

Salvare tutti i file e quindi selezionare F5 per eseguire l'applicazione in locale. Dopo la distribuzione dell'applicazione, viene aperto un browser su https://localhost:443. Se si usa un certificato autofirmato, viene visualizzato un avviso che indica che il PC non considera attendibile la sicurezza di questo sito Web. Continuare con la pagina Web.

Installare il certificato nei nodi del cluster

Prima di distribuire l'applicazione in Azure, installare il certificato nell'archivio Cert:\LocalMachine\My di tutti i nodi del cluster remoto. I servizi possono essere spostati in nodi diversi del cluster. Quando il servizio Web front-end viene avviato in un nodo del cluster, lo script di avvio cerca il certificato e configura le autorizzazioni di accesso.

Per installare il certificato nei nodi del cluster, esportare prima di tutto il certificato come file PFX. Aprire il file dell'applicazione certlm.msc e passare a Certificati personali>. Fare clic con il pulsante destro del mouse sul certificato mytestcert e quindi scegliere Tutte le attività>esportate.

Nella procedura guidata di esportazione selezionare Sì, esportare la chiave privata e quindi selezionare il formato PFX. Esportare il file in C:\Users\sfuser\votingappcert.pfx.

Installare quindi il certificato nel cluster remoto usando gli script di PowerShell.

Aprire la porta 443 nel servizio di bilanciamento del carico di Azure e nella rete virtuale

Aprire la porta 443 nel servizio di bilanciamento del carico se non è aperta:

$probename = "AppPortProbe6"
$rulename="AppPortLBRule6"
$RGname="voting_RG"
$port=443

# Get the load balancer resource
$resource = Get-AzResource | Where {$_.ResourceGroupName –eq $RGname -and $_.ResourceType -eq "Microsoft.Network/loadBalancers"}
$slb = Get-AzLoadBalancer -Name $resource.Name -ResourceGroupName $RGname

# Add a new probe configuration to the load balancer
$slb | Add-AzLoadBalancerProbeConfig -Name $probename -Protocol Tcp -Port $port -IntervalInSeconds 15 -ProbeCount 2

# Add rule configuration to the load balancer
$probe = Get-AzLoadBalancerProbeConfig -Name $probename -LoadBalancer $slb
$slb | Add-AzLoadBalancerRuleConfig -Name $rulename -BackendAddressPool $slb.BackendAddressPools[0] -FrontendIpConfiguration $slb.FrontendIpConfigurations[0] -Probe $probe -Protocol Tcp -FrontendPort $port -BackendPort $port

# Set the goal state for the load balancer
$slb | Set-AzLoadBalancer

Eseguire la stessa operazione per la rete virtuale associata:

$rulename="allowAppPort$port"
$nsgname="voting-vnet-security"
$RGname="voting_RG"
$port=443

# Get the network security group resource
$nsg = Get-AzNetworkSecurityGroup -Name $nsgname -ResourceGroupName $RGname

# Add the inbound security rule.
$nsg | Add-AzNetworkSecurityRuleConfig -Name $rulename -Description "Allow app port" -Access Allow `
    -Protocol * -Direction Inbound -Priority 3891 -SourceAddressPrefix "*" -SourcePortRange * `
    -DestinationAddressPrefix * -DestinationPortRange $port

# Update the network security group
$nsg | Set-AzNetworkSecurityGroup

Distribuire l'applicazione in Azure

Salvare tutti i file, passare da Debug a Rilascio e selezionare F6 per ricompilare. In Esplora soluzioni fare clic con il pulsante destro del mouse su Voto e scegliere Pubblica. Selezionare l'endpoint di connessione del cluster creato in Distribuire un'applicazione in un cluster oppure selezionare un altro cluster. Selezionare Pubblica per pubblicare l'applicazione nel cluster remoto.

Quando l'applicazione viene distribuita, aprire un Web browser e passare a https://mycluster.region.cloudapp.azure.com:443 (aggiornare l'URL con l'endpoint di connessione per il cluster). Se si usa un certificato autofirmato, viene visualizzato un avviso che indica che il PC non considera attendibile la sicurezza di questo sito Web. Continuare con la pagina Web.

Passaggio successivo

Passare all'esercitazione successiva: