Kontrola dostępu oparta na rolach dla klientów usługi Service Fabric

  • Artykuł

Usługa Azure Service Fabric obsługuje dwa różne typy kontroli dostępu dla klientów połączonych z klastrem usługi Service Fabric: administratorem i użytkownikiem. Kontrola dostępu umożliwia administratorowi klastra ograniczenie dostępu do niektórych operacji klastra dla różnych grup użytkowników, dzięki czemu klaster jest bezpieczniejszy.

Administratorzy mają pełny dostęp do funkcji zarządzania (w tym możliwości odczytu/zapisu). Domyślnie użytkownicy mają dostęp tylko do odczytu do funkcji zarządzania (na przykład możliwości zapytań) i możliwości rozpoznawania aplikacji i usług.

W momencie tworzenia klastra należy określić dwie role klienta (administrator i klient), podając oddzielne certyfikaty dla każdego z nich. Zobacz Zabezpieczenia klastra usługi Service Fabric, aby uzyskać szczegółowe informacje na temat konfigurowania bezpiecznego klastra usługi Service Fabric.

Domyślne ustawienia kontroli dostępu

Typ kontroli dostępu administratora ma pełny dostęp do wszystkich interfejsów API FabricClient. Może wykonywać wszystkie operacje odczytu i zapisu w klastrze usługi Service Fabric, w tym następujące operacje:

Operacje aplikacji i usługi

  • CreateService: tworzenie usługi
  • CreateServiceFromTemplate: tworzenie usługi na podstawie szablonu
  • UpdateService: aktualizacje usługi
  • DeleteService: usuwanie usługi
  • ProvisionApplicationType: inicjowanie obsługi administracyjnej typu aplikacji
  • CreateApplication: tworzenie aplikacji
  • DeleteApplication: usuwanie aplikacji
  • UpgradeApplication: uruchamianie lub przerywanie uaktualniania aplikacji
  • Anuluj aprovisionApplicationType: typ aplikacji — anulowanie aprowizacji
  • MoveNextUpgradeDomain: wznawianie uaktualnień aplikacji z jawną domeną aktualizacji
  • ReportUpgradeHealth: wznawianie uaktualnień aplikacji z bieżącym postępem uaktualniania
  • ReportHealth: raportowanie kondycji
  • PredeployPackageToNode: interfejs API wdrażania wstępnego
  • CodePackageControl: ponowne uruchamianie pakietów kodu
  • RecoverPartition: odzyskiwanie partycji
  • RecoverPartitions: odzyskiwanie partycji
  • RecoverServicePartitions: odzyskiwanie partycji usługi
  • RecoverSystemPartitions: odzyskiwanie partycji usługi systemowej

Operacje klastra

  • ProvisionFabric: aprowizowanie manifestu msi i/lub klastra
  • UpgradeFabric: uruchamianie uaktualnień klastra
  • Anulowanie aprowizacjiFabric: anulowanie aprowizacji pliku MSI i/lub manifestu klastra
  • MoveNextFabricUpgradeDomain: wznawianie uaktualnień klastra z jawną domeną aktualizacji
  • ReportFabricUpgradeHealth: wznawianie uaktualnień klastra z bieżącym postępem uaktualniania
  • StartInfrastructureTask: uruchamianie zadań infrastruktury
  • FinishInfrastructureTask: kończenie zadań infrastruktury
  • InvokeInfrastructureCommand: polecenia zarządzania zadaniami infrastruktury
  • ActivateNode: aktywowanie węzła
  • Dezaktywacja węzła: dezaktywowanie węzła
  • Dezaktywuj WęzłyBatch: dezaktywowanie wielu węzłów
  • RemoveNodeDeactivations: przywracanie dezaktywacji na wielu węzłach
  • GetNodeDeactivationStatus: sprawdzanie stanu dezaktywacji
  • NodeStateRemoved: stan węzła raportowania został usunięty
  • ReportFault: raportowanie błędów
  • FileContent: transfer plików klienta magazynu obrazów (zewnętrzny do klastra)
  • FileDownload: inicjowanie pobierania pliku klienta magazynu obrazów (zewnętrzne do klastra)
  • Lista wewnętrzna: operacja listy plików klienta magazynu obrazów (wewnętrzna)
  • Usuwanie: operacja usuwania klienta magazynu obrazów
  • Przekazywanie: operacja przekazywania klienta magazynu obrazów
  • NodeControl: uruchamianie, zatrzymywanie i ponowne uruchamianie węzłów
  • MoveReplicaControl: przenoszenie replik z jednego węzła do innego

Różne operacje

  • Ping: polecenia ping klienta
  • Zapytanie: wszystkie dozwolone zapytania
  • NameExists: sprawdzanie istnienia identyfikatora URI nazewnictwa

Typ kontroli dostępu użytkownika jest domyślnie ograniczony do następujących operacji:

  • EnumerateSubnames: wyliczenie identyfikatora URI nazewnictwa
  • EnumerateProperties: wyliczenie właściwości nazewnictwa
  • PropertyReadBatch: operacje odczytu właściwości nazewnictwa
  • GetServiceDescription: powiadomienia o usłudze long poll i odczytywanie opisów usług
  • ResolveService: rozpoznawanie usługi opartej na skargach
  • ResolveNameOwner: rozpoznawanie właściciela identyfikatora URI nazewnictwa
  • ResolvePartition: rozpoznawanie usług systemowych
  • ServiceNotifications: powiadomienia usługi oparte na zdarzeniach
  • GetUpgradeStatus: stan uaktualniania aplikacji sondowania
  • GetFabricUpgradeStatus: stan uaktualniania klastra sondowania
  • InvokeInfrastructureQuery: wykonywanie zapytań dotyczących zadań infrastruktury
  • Lista: operacja listy plików klienta magazynu obrazów
  • ResetPartitionLoad: resetowanie obciążenia dla jednostki trybu failover
  • ToggleVerboseServicePlacementHealthReporting: przełączanie pełnego raportowania kondycji umieszczania usługi

Kontrola dostępu administratora ma również dostęp do poprzednich operacji.

Zmienianie ustawień domyślnych dla ról klienta

W pliku manifestu klastra możesz w razie potrzeby udostępnić klientowi możliwości administratora. Ustawienia domyślne można zmienić, przechodząc do opcji Ustawienia sieci szkieletowej podczas tworzenia klastra i podając poprzednie ustawienia w polach nazwy, administratora, użytkownika i wartości .

Następne kroki

Zabezpieczenia klastra usługi Service Fabric

Tworzenie klastra usługi Service Fabric