Criar um cluster do Service Fabric no usando o portal do Azure
Este artigo é um guia passo a passo que orienta você pelas etapas de configuração de um cluster do Service Fabric (Linux ou Windows) no Azure usando o portal do Azure. Este guia apresenta as seguintes etapas:
- Crie um cluster no Azure por meio do portal do Azure.
- Autentique os administradores que usam certificados.
Observação
Para obter opções de segurança mais avançadas, como autenticação de usuário com o Microsoft Entra ID e configurar certificados para a segurança do aplicativo, crie seu cluster usando o Azure Resource Manager.
Segurança de cluster
Os certificados são usados no Service Fabric para fornecer autenticação e criptografia para proteger vários aspectos de um cluster e de seus aplicativos. Para obter mais informações sobre como os certificados são usados no Service Fabric, consulte Cenários de segurança do cluster do Service Fabric.
Se esta for a primeira vez que você estiver criando um cluster do Service Fabric ou estiver implantando um cluster para cargas de trabalho de teste, você poderá pular para a próxima seção (Criar cluster no portal do Azure) e fazer com que o sistema gere certificados necessários para seus clusters que executam cargas de trabalho de teste. Se você estiver configurando um cluster para cargas de trabalho de produção, continue lendo.
Certificado de cluster e de servidor (necessário)
Esse certificado é necessário para proteger um cluster e impedir o acesso não autorizado a ele. Ele fornece segurança de cluster de duas maneiras:
- Autenticação do cluster: autentica a comunicação de nó para nó para a federação de cluster. Somente os nós que podem provar sua identidade com esse certificado podem ingressar no cluster.
- Autenticação de servidor: autentica os pontos de extremidade de gerenciamento de cluster em um cliente de gerenciamento, para que o cliente de gerenciamento saiba que está conversando com o cluster real. Esse certificado também fornece TLS para a API de gerenciamento de HTTPS e para o Service Fabric Explorer sobre HTTPS.
Para servir a essas finalidades, o certificado deverá atender a estes requisitos:
- O certificado deve conter uma chave privada.
- O certificado deve ser criado para troca de chaves, exportável para um arquivo Troca de Informações Pessoais (.pfx).
- O nome de assunto do certificado deve corresponder ao domínio usado para acessar o cluster do Service Fabric. Isso é necessário para fornecer TLS para os pontos de extremidade de gerenciamento de HTTPS e o Service Fabric Explorer do cluster. Você não pode obter um certificado TLS/SSL de uma CA (autoridade de certificação) para o domínio
.cloudapp.azure.com
. Adquira um nome de domínio personalizado para seu cluster. Quando você solicitar um certificado de uma autoridade de certificação, o nome de assunto do certificado deve corresponder ao nome de domínio personalizado usado para seu cluster. - A lista de nomes DNS do certificado deve incluir o FQDN (Nome de Domínio Totalmente Qualificado) do cluster.
Certificados de autenticação de cliente
Certificados de cliente extras autenticam administradores para tarefas de gerenciamento de cluster. O Service Fabric tem dois níveis de acesso: administrador e usuário somente leitura. No mínimo, um único certificado para acesso administrativo deve ser usado. Para acesso extra no nível do usuário, um certificado separado deve ser fornecido. Para obter mais informações sobre as funções de acesso, consulte Controle de acesso baseado em função para clientes do Service Fabric.
Você não precisa carregar certificados de autenticação do cliente no Key Vault para trabalhar com o Service Fabric. Esses certificados só precisam ser fornecido para os usuários autorizados para gerenciamento de cluster.
Observação
O Microsoft Entra ID é a maneira recomendada de autenticar clientes para operações de gerenciamento de cluster. Para usar o Microsoft Entra ID, você deve criar um cluster usando o Azure Resource Manager.
Certificados de aplicativo (opcionais)
Qualquer número de certificados extras pode ser instalado em um cluster para fins de segurança do aplicativo. Antes de criar o cluster, considere os cenários de segurança de aplicativos que exigem um certificado a ser instalado em nós, como:
- Criptografia e descriptografia de valores de configuração de aplicativo
- Criptografia de dados entre nós durante a replicação
Os certificados de aplicativo não podem ser configurados ao criar um cluster por meio do portal do Azure. Para configurar certificados de aplicativo durante a instalação do cluster, é necessário criar um cluster usando o Azure Resource Manager. Você também pode adicionar certificados de aplicativo ao cluster depois que ele for criado.
Criar um cluster no portal do Azure
Criar um cluster de produção para atender às necessidades do aplicativo envolve algum planejamento. Para ajudá-lo com isso, é recomendável que você leia e entenda o documento Considerações sobre planejamento de cluster do Service Fabric.
Pesquise o recurso de cluster do Service Fabric
Entre no portal do Azure. Clique em Criar um recurso para adicionar um novo modelo de recurso. Procure o modelo Cluster do Service Fabric no Marketplace em Tudo. Selecione Cluster do Service Fabric na lista.
Navegue até o Cluster do Service Fabric folha e clique em Criar.
A folha Criar cluster do Service Fabric tem as quatro etapas a seguir:
1. Noções básicas
Na folha Básico, você precisa fornecer os detalhes básicos do seu cluster.
Insira o nome do seu cluster.
Insira um nome de usuário e uma senha para a Área de Trabalho Remota para as VMs.
Selecione a Assinatura desejada para a implantação do cluster, especialmente se você tiver várias assinaturas.
Crie um novo grupo de recursos. É melhor dar a ele o mesmo nome que o cluster, pois ele ajuda a encontrá-los mais tarde, especialmente quando você está tentando fazer alterações na implantação ou excluir o cluster.
Observação
Embora você possa optar por usar um grupo de recursos existente, é uma boa prática criar um novo grupo de recursos. Isso facilita a excluir clusters e todos os recursos que ele usa.
Selecione a região na qual você deseja criar o cluster. Se você estiver planejando usar um certificado existente que já carregou em um cofre de chaves, deverá usar a mesma região em que o cofre de chaves está.
2. Configuração do cluster
Configure os nós de cluster. Os tipos de nó definem os tamanhos e o número de VMs e suas propriedades. O cluster pode ter mais de um tipo de nó, mas o tipo de nó primário (o primeiro que você define no portal) deve ter pelo menos cinco VMs. Esse é o tipo de nó onde os serviços do sistema do Service Fabric são colocados. Não configure as Propriedades de Posicionamento, pois uma propriedade de posicionamento padrão de "NodeTypeName" é adicionada automaticamente.
Observação
Um cenário comum para vários tipos de nó é um aplicativo que contém um serviço front-end e um serviço back-end. Você quer colocar o serviço front-end em VMs menores (tamanhos como D2_V2) com portas abertas para a Internet e colocar o serviço de back-end em VMs maiores (com tamanhos como D3_V2, D6_V2, D15_V2 e assim por diante) com portas não são voltadas para a Internet abertas.
- Escolha um nome para o tipo de nó (um a 12 caracteres contendo somente letras e números).
- O tamanho mínimo das VMs para o tipo de nó primário é determinado pela camada de durabilidade que você escolhe para o cluster. O padrão para a camada de durabilidade é Bronze. Para obter mais informações sobre durabilidade, consulte como escolher a durabilidade do cluster do Service Fabric.
- Selecione o tamanho da máquina Virtual. As VMs da série D têm unidades SSD e são altamente recomendadas para aplicativos com monitoração de estado. Não use nenhuma SKU de VM com núcleos parciais ou que tenham menos de 10 GB de capacidade em disco disponível. Consulte o documento de consideração de planejamento de cluster do Service Fabric para ajudar a selecionar o tamanho da VM.
- Único cluster de nós e clusters de três nós destinam-se somente para teste. Não há suporte para cargas de trabalho de produção em execução.
- Escolha a capacidade inicial do conjunto de dimensionamento de máquinas virtuais para o tipo de nó. Você pode escalar ou reduzir horizontalmente o número de VMs em um tipo de nó posteriormente, mas no tipo de nó primário, o mínimo é cinco para cargas de trabalho de produção. Outros tipos de nó podem ter um mínimo de uma máquina virtual. O número mínimo de VMs para as unidades do tipo de nó primário da confiabilidade do seu cluster.
- Configure pontos de extremidade personalizados. Este campo permite que você insira uma lista separada por vírgulas de portas que você deseja expor por meio do Azure Load Balancer para a Internet pública para seus aplicativos. Por exemplo, se você planeja implantar um aplicativo web para o cluster, insira "80" aqui para permitir o tráfego na porta 80 em seu cluster. Para obter mais informações sobre pontos de extremidade, consulte Comunicando-se com aplicativos.
- Habilitar proxy reverso. O proxy reverso do Service Fabric microsserviços de Ajuda em execução em um cluster do Service Fabric a descobrir e se comunicar com outros serviços que têm pontos de extremidade http.
- De volta à configuração de Cluster, em + Mostrar configurações opcionais, configure o diagnóstico do cluster. Por padrão, os diagnósticos são habilitados no cluster para ajudar na solução de problemas. Se quiser desabilitar o diagnóstico, alterne o Status para Desligado. Não é recomendável desligar o diagnóstico. Se você já tiver o projeto do Application Insights criado, forneça a chave, de maneira que os rastreamentos de aplicativo sejam roteados para ele.
- Inclui serviço DNS. O serviço DNS um serviço opcional que permite que você encontre outros serviços usando o protocolo DNS.
- Selecione o modo de atualização do Fabric para o qual você deseja definir o cluster. Selecione Automático, se você desejar que o sistema automaticamente obtenha a versão mais recente e tente atualizar o cluster para ela. Defina o modo como Manual, se você desejar escolher uma versão com suporte. Para obter mais informações sobre o modo de atualização do Fabric, consulte o documento Atualização de cluster do Service Fabric.
Observação
Damos suporte somente para clusters que executam versões com suporte do Service Fabric. Selecionando o modo Manual , você está assumindo a responsabilidade de atualizar seu cluster para uma versão com suporte.
3. Segurança
Para facilitar a configuração de um cluster de teste seguro para você, oferecemos a opção Básica. Se você já possui um certificado e o carregou no seu cofre de chaves (e habilitou o cofre de chaves para implantação), então utilize a opção Personalizado.
Opção Básica
Siga as telas para adicionar ou reutilizar um cofre de chaves existente e adicionar um certificado. A adição do certificado é um processo síncrono e, portanto, você terá que aguardar a criação do certificado.
Resista à tentação de sair da tela até o processo anterior ser concluído.
Agora que o Cofre de chaves é criado, edite as políticas de acesso para o Cofre de chaves.
Clique em Editar políticas de acesso, em seguida, Mostrar políticas de acesso avançados e habilitar o acesso às máquinas virtuais do Azure para implantação. É recomendável habilitar a implantação do modelo também. Depois de fazer suas seleções, não se esqueça de clicar no botão Salvar e fechar o painel Políticas de acesso.
Insira o nome do certificado e clique em OK.
Opção Personalizada
Ignore esta seção, caso você já tenha realizado as etapas na opção Básica.
Você precisa do cofre da chave de Origem, URL do Certificado e informações de impressão digital do Certificado para concluir a página de segurança. Se você não o tiver à mão, abra outra janela do navegador e, no portal do Azure, faça o seguinte:
Navegue até seu serviço de Cofre de chaves.
Selecione a guia "Propriedades" e copie a "ID DO RECURSO" para "Cofre da chave de origem" na outra janela do navegador.
Agora selecione a guia “Certificados”.
Clique na impressão digital do certificado, que leva você até a página Versões.
Clique nas Guids na Versão atual.
Agora você deve estar em uma tela como abaixo. Copie a impressão digital SHA-1 hexadecimal para "Impressão digital do certificado" na outra janela do navegador.
Copie o identificador' segredo' para a "URL do certificado" em outra janela do navegador.
Marque a caixa Definir configurações avançadas para inserir certificados de cliente para cliente administrativo e cliente somente leitura. Nesses campos, insira a impressão digital do seu certificado de cliente do administrador e a impressão digital do seu certificado de cliente do usuário somente leitura, se aplicável. Quando os administradores tentam se conectar ao cluster, eles recebem acesso somente se tiverem um certificado com uma impressão digital que corresponda aos valores de impressão digital inseridos aqui.
4. Resumo
Agora você está pronto para implantar o cluster. Antes disso, baixe o certificado, procure dentro da caixa informativa azul grande o link. Certifique-se de manter o certificado em um local seguro, você precisará dele para se conectar ao cluster. Como o certificado baixado não tem uma senha, é recomendável que você adicione uma.
Para concluir a criação do cluster, clique em Criar. Você também pode baixar o modelo.
Você pode ver o progresso da criação nas notificações. (Clique no ícone do "Sino" próximo à barra de status na parte superior direita da tela). Se você clicou em Fixar no quadro inicial ao criar o cluster, você vai ver a opção Implantar Cluster do Service Fabric fixada no quadro Iniciar. Esse processo leva algum tempo.
Para realizar operações de gerenciamento no cluster usando o PowerShell ou a CLI, você precisa se conectar ao cluster, saiba mais sobre como fazer isso em conectar ao cluster.
Exibir o status do cluster
Depois que o cluster for criado, você poderá inspecioná-lo no portal:
- Vá para Procurar e clique em Clusters do Service Fabric.
- Localize o cluster e clique nele.
- Agora você pode ver os detalhes do cluster no painel, inclusive o ponto de extremidade público do cluster e um link para o Service Fabric Explorer.
A seção Monitor do Nó na folha do painel do cluster indica o número de VMs íntegras e não íntegras. Encontre mais detalhes sobre a integridade do cluster em Introdução ao monitoramento da integridade do Service Fabric.
Observação
Os clusters de Service Fabric exigem um determinado número de nós esteja sempre ativo para manter a disponibilidade e preservar o estado – conhecido como "manter o quórum". Portanto, normalmente não é seguro desligar todos os computadores no cluster, a menos que você tenha primeiro feito um backup completo do estado.
Conectar remotamente a uma instância do Conjunto de Escala de Máquinas Virtuais ou a um nó de cluster
Cada um dos NodeTypes que você especifica no cluster resulta na configuração de um Conjunto de dimensionamento de máquinas virtuais.
Próximas etapas
Neste ponto, você tem um cluster seguro usando certificados para autenticação de gerenciamento. Em seguida, conecte-se ao cluster e saiba como gerenciar segredos do aplicativo. Além disso, saiba mais sobre as Azure Service Fabric support options (Opções de suporte do Service Fabric).