Hantera krypterade hemligheter i Service Fabric-program
Den här guiden vägleder dig genom stegen för att hantera hemligheter i ett Service Fabric-program. Hemligheter kan vara känslig information, till exempel lagring niska veze, lösenord eller andra värden som inte ska hanteras i oformaterad text.
Att använda krypterade hemligheter i ett Service Fabric-program omfattar tre steg:
- Konfigurera ett krypteringscertifikat och kryptera hemligheter.
- Ange krypterade hemligheter i ett program.
- Dekryptera krypterade hemligheter från tjänstkoden.
Konfigurera ett krypteringscertifikat och kryptera hemligheter
Att konfigurera ett krypteringscertifikat och använda det för att kryptera hemligheter varierar mellan Windows och Linux.
- Konfigurera ett krypteringscertifikat och kryptera hemligheter i Windows-kluster.
- Konfigurera ett krypteringscertifikat och kryptera hemligheter i Linux-kluster.
Ange krypterade hemligheter i ett program
I föregående steg beskrivs hur du krypterar en hemlighet med ett certifikat och skapar en base-64-kodad sträng för användning i ett program. Den här base-64-kodade strängen kan anges som en krypterad parameter i en tjänsts Settings.xml eller som en krypterad miljövariabel i en tjänsts ServiceManifest.xml.
Ange en krypterad parameter i tjänstens Settings.xml konfigurationsfil med attributet inställt på IsEncrypted
true
:
<?xml version="1.0" encoding="utf-8" ?>
<Settings xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/2011/01/fabric">
<Section Name="MySettings">
<Parameter Name="MySecret" IsEncrypted="true" Value="I6jCCAeYCAxgFhBXABFxzAt ... gNBRyeWFXl2VydmjZNwJIM=" />
</Section>
</Settings>
Ange en krypterad miljövariabel i tjänstens ServiceManifest.xml-fil med attributet inställt på Type
Encrypted
:
<CodePackage Name="Code" Version="1.0.0">
<EnvironmentVariables>
<EnvironmentVariable Name="MyEnvVariable" Type="Encrypted" Value="I6jCCAeYCAxgFhBXABFxzAt ... gNBRyeWFXl2VydmjZNwJIM=" />
</EnvironmentVariables>
</CodePackage>
Hemligheterna bör också ingå i Ditt Service Fabric-program genom att ange ett certifikat i programmanifestet. Lägg till ett SecretsCertificate-element i ApplicationManifest.xml och inkludera det önskade certifikatets tumavtryck.
<ApplicationManifest … >
...
<Certificates>
<SecretsCertificate Name="MyCert" X509FindType="FindByThumbprint" X509FindValue="[YourCertThumbrint]"/>
</Certificates>
</ApplicationManifest>
Kommentar
När du aktiverar ett program som anger ett SecretsCertificate hittar Service Fabric det matchande certifikatet och beviljar den identitet som programmet körs med fullständig behörighet till certifikatets privata nyckel. Service Fabric övervakar även certifikatet för ändringar och tillämpar behörigheterna på nytt. För att identifiera ändringar för certifikat som deklarerats med eget namn kör Service Fabric en periodisk uppgift som hittar alla matchande certifikat och jämför den med en cachelagrad lista med tumavtryck. När ett nytt tumavtryck identifieras innebär det att ett certifikat från det ämnet har förnyats. Aktiviteten körs en gång per minut på varje nod i klustret.
Även om SecretsCertificate tillåter ämnesbaserade deklarationer bör du notera att de krypterade inställningarna är knutna till nyckelparet som användes för att kryptera inställningen på klienten. Du måste se till att det ursprungliga krypteringscertifikatet (eller motsvarande) matchar den ämnesbaserade deklarationen och att det installeras, inklusive dess motsvarande privata nyckel, på varje nod i klustret som kan vara värd för programmet. Alla tidsgiltigt certifikat som matchar den ämnesbaserade deklarationen och som skapats från samma nyckelpar som det ursprungliga krypteringscertifikatet betraktas som motsvarigheter.
Mata in programhemligheter i programinstanser
Helst bör distributionen till olika miljöer vara så automatiserad som möjligt. Detta kan åstadkommas genom att utföra hemlig kryptering i en byggmiljö och tillhandahålla krypterade hemligheter som parametrar när du skapar programinstanser.
Använda åsidosättande parametrar i Settings.xml
Konfigurationsfilen Settings.xml tillåter åsidosättningsbara parametrar som kan anges när programmet skapas. MustOverride
Använd attributet i stället för att ange ett värde för en parameter:
<?xml version="1.0" encoding="utf-8" ?>
<Settings xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/2011/01/fabric">
<Section Name="MySettings">
<Parameter Name="MySecret" IsEncrypted="true" Value="" MustOverride="true" />
</Section>
</Settings>
Om du vill åsidosätta värden i Settings.xml deklarerar du en åsidosättningsparameter för tjänsten i ApplicationManifest.xml:
<ApplicationManifest ... >
<Parameters>
<Parameter Name="MySecret" DefaultValue="" />
</Parameters>
<ServiceManifestImport>
<ServiceManifestRef ServiceManifestName="Stateful1Pkg" ServiceManifestVersion="1.0.0" />
<ConfigOverrides>
<ConfigOverride Name="Config">
<Settings>
<Section Name="MySettings">
<Parameter Name="MySecret" Value="[MySecret]" IsEncrypted="true" />
</Section>
</Settings>
</ConfigOverride>
</ConfigOverrides>
</ServiceManifestImport>
Nu kan värdet anges som en programparameter när du skapar en instans av programmet. Att skapa en programinstans kan skriptas med PowerShell, eller skrivas i C#, för enkel integrering i en byggprocess.
Med PowerShell levereras parametern till New-ServiceFabricApplication
kommandot som en hash-tabell:
New-ServiceFabricApplication -ApplicationName fabric:/MyApp -ApplicationTypeName MyAppType -ApplicationTypeVersion 1.0.0 -ApplicationParameter @{"MySecret" = "I6jCCAeYCAxgFhBXABFxzAt ... gNBRyeWFXl2VydmjZNwJIM="}
Med C# anges programparametrar i en ApplicationDescription
NameValueCollection
som :
FabricClient fabricClient = new FabricClient();
NameValueCollection applicationParameters = new NameValueCollection();
applicationParameters["MySecret"] = "I6jCCAeYCAxgFhBXABFxzAt ... gNBRyeWFXl2VydmjZNwJIM=";
ApplicationDescription applicationDescription = new ApplicationDescription(
applicationName: new Uri("fabric:/MyApp"),
applicationTypeName: "MyAppType",
applicationTypeVersion: "1.0.0",
applicationParameters: applicationParameters)
);
await fabricClient.ApplicationManager.CreateApplicationAsync(applicationDescription);
Dekryptera krypterade hemligheter från tjänstkod
API:erna för åtkomst till parametrar och miljövariabler möjliggör enkel dekryptering av krypterade värden. Eftersom den krypterade strängen innehåller information om certifikatet som används för kryptering behöver du inte ange certifikatet manuellt. Certifikatet behöver bara installeras på noden som tjänsten körs på.
// Access decrypted parameters from Settings.xml
ConfigurationPackage configPackage = FabricRuntime.GetActivationContext().GetConfigurationPackageObject("Config");
bool MySecretIsEncrypted = configPackage.Settings.Sections["MySettings"].Parameters["MySecret"].IsEncrypted;
if (MySecretIsEncrypted)
{
SecureString MySecretDecryptedValue = configPackage.Settings.Sections["MySettings"].Parameters["MySecret"].DecryptValue();
}
// Access decrypted environment variables from ServiceManifest.xml
// Note: you do not have to call any explicit API to decrypt the environment variable.
string MyEnvVariable = Environment.GetEnvironmentVariable("MyEnvVariable");
Nästa steg
- Service Fabric Secrets Store
- Läs mer om program- och tjänstsäkerhet