Создание и настройка сертификата кластера Microsoft Service Fabric

Question

После нескольких дней прочтения большого количества документации без какого-либо успеха я подумал, что задам вопрос здесь для некоторого руководства. Я пытаюсь настроить кластер Azure Service Fabric и получить к нему доступ через Powershell, чтобы я мог удаленно управлять приложениями, и в документации, похоже, есть огромная дыра, возможно, для таких новичков, как я!

У меня есть веб-API, к которому требуется доступ через Angular SPA, работающий на мобильных устройствах, поэтому я предполагаю, что конечные точки должны быть общедоступными и доступными без какой-либо формы вызова, поскольку безопасность управляется токенами JWT.

На мой взгляд, развертывание производственной среды должно включать несколько этапов: -

1. Создание основного / серверного сертификата
2. Создание сертификата клиента администратора
3. Развертывание портала Azure
4. Конфигурация машины разработки для предоставления доступа к кластеру через Powershell

Теперь я, возможно, неправильно понял документацию, поэтому, пожалуйста, не стесняйтесь исправлять меня.

Что я сделал до сих пор: -

1. Я создал свой кластер с помощью собственной подписи Microsoft. средство сертификации в качестве основного / серверного сертификата.
2. У меня есть сертификат с подстановочным знаком, выданный центром сертификации, который я установил в качестве сертификата администратора на сервере.
3. Я настроил запись CNAME, которая сопоставляет мой * .cloudapp.azure.com на поддомен.

Я не могу подключиться к своему кластеру в любом виде или форме, я не могу подключиться через Powershell с помощью Connect-ServiceFabricCluster и не могу перейти к Service Fabric Explorer, в котором говорится, что в доступе отказано: /

Может ли кто-нибудь дать мне руководство по процессу, которому я должен следовать, чтобы активировать соединение, или предоставить ссылку на более подробную документацию, которая фактически содержит содержательные инструкции по процессу.

Answer 1

Это сводило меня с ума в последние несколько дней, поэтому я опубликовал это пошаговое руководство, чтобы помочь всем, кто страдает от таких же страданий.

ОБРАТИТЕ ВНИМАНИЕ: В этих инструкциях используется встроенная программа Microsoft.подписанный сертификат, созданный для вас порталом, производственные системы должны иметь действительный сертификат, выданный центром сертификации, и я еще не пробовал это сделать!

Создать новый кластер Service Fabric через портал

Создать новыйГруппа ресурсов

1. Нажмите «Группы ресурсов» в левом меню и нажмите кнопку «Добавить»
2. Выберите подписку
3. Введите имя группы ресурсов
4. Выбратьрегион "Северная Европа"
5. Нажмите "Обзор + Создать", а затем нажмите "Создать"

Создание нового кластера Service Fabric

1. Перейдите к своемуНовая группа ресурсов
2. Нажмите кнопку «Добавить»
3. Введите «Service Fabric» в поиск и выберите «Кластер Service Fabric»
4. Нажмите кнопку «Создать» навнизу страницы

Настройка кластера Service Fabric

Основы

1. Введите имя нового кластера
2. Выберите необходимый O / Выбрать
3. Введите свое имя пользователя и пароль (убедитесь, что документ на диске Google обновлен с подробной информацией)
4. Выберите соответствующую подписку
5. Выберите новую группу ресурсов израскрывающийся список.
6. Выберите «Северная Европа» в раскрывающемся списке «Расположение».
7. Нажмите кнопку «ОК»

Конфигурация кластера

1. Выберите количество узлов типа 1 (если вы не настраиваете другой тип кластера)
2. Щелкните по разделу «Тип узла»
3. Введите «Имя типа узла», напримерprimary
4. Выберите соответствующий "Статический веб-интерфейс Dierbility Tier" в норме для бронзы
5. Выберите необходимый "Размер виртуальной машины"
6. Выберите "Кластер с одним узлом", если производство не требует 5 узловили более.
7. Измените «Пользовательские конечные точки» на80,8081
8. Отметьте «Включить обратный прокси»
9. Нажмите кнопку «ОК»
10. Нажмите кнопку «ОК» еще раз

Безопасность

1. Выберите базовый «Тип конфигурации»
2. Выберите хранилище ключей «CodeClinic»
3. Введите имя вашего сертификата
4. Нажмите кнопку «ОК»

Сводка

1. Если проверка прошла успешно, нажмите ссылку "эта ссылка", содержащуюся в информационном окне.
2. Откроется новая вкладка браузера, а внизу есть кнопка «Скачать как сертификат», нажмите эту кнопку.
3. Закройте новую вкладку и нажмите кнопку «Создать»

Это займет некоторое время для создания и удаления вашего кластера, легко 20-30 минут!

Убедитесь, что ваше хранилище ключей имеет соответствующие "AdvancedДоступ к свойствам »устанавливается, щелкнув пункт меню« Политики доступа »в блейде Key Vault, а затем щелкните ссылку с надписью« Click для отображения расширенных политик доступа ".

Убедитесь, что отмечены следующие параметры: -

1. Включен доступ к виртуальным машинам Azure для развертывания
2. Включите доступ к AzureДиспетчер ресурсов для развертывания шаблона

Установите сертификат на любой компьютер для разработки, который будет

1. Найдите файл pfx, загруженный на ваш компьютер
2. Дважды щелкните файлиз проводника Windows
3. Выберите «Текущий пользователь», нажмите кнопку «Далее»
4. Нажмите кнопку «Далее»
5. Нажмите кнопку «Далее», пароль не назначен
6. Нажмите «Поместить все сертификаты в следующий магазин»
7. Нажмите «Обзор» и выберите «Личный» магазин
8. Нажмите кнопку «Далее»
9. Нажмитекнопка «Готово»

Проверка соединения

Вернитесь на портал Azure и нажмите на только что созданный обзор кластеров, подождите, пока сообщение об обновлении не исчезнет и узлы станут доступными, прежде чем продолжить работу!

Перейдите в хранилище ключей Azure, найдите отпечаток сертификата, скопируйте и вставьте его в блокнот для использования в ближайшее время.

Service Fabric Explorer

На портале Azure найдите службу Service Fabric и на странице обзора щелкните ссылку «Service Fabric Explorer».

1. В Chrome вы будете получать сообщения «Ваше соединение не является частным» / «NET :: ERR_CERT_AUTHORITY_INVALID»
2. Нажмите ссылку "Продолжить .." внизу страницы
3. Вам будет показано всплывающее окно с просьбой выбрать сертификат, который вы хотите использовать

ПРИМЕЧАНИЕ : у меня было странное поведение, я настоятельно рекомендую закрыть ваш браузер на этом этапе вместе с очисткой кеша.

Команда Powershell ISE для подключения

CONNECTION_ENDPOINT можно получить на портале Azure в колонке «Обзор кластера» THUMBPRINT должен был быть скопирован и вставлен ранее в процессе, если не удалось получить его из хранилища ключей.

Connect-ServiceFabricCluster -ConnectionEndpoint <CONNECTION_ENDPOINT> `
  -KeepAliveIntervalInSec 10 `
  -X509Credential -ServerCertThumbprint <THUMBPRINT> `
  -FindType FindByThumbprint -FindValue <THUMBPRINT> `
  -StoreLocation CurrentUser -StoreName My

Скопируйте и вставьте вышеперечисленное в окно «Сценарий» в командном окне Powershell ISE, которое доступно через кнопку на панели инструментов, символ в конце каждой строки определяет возврат каретки.