Rollbaserad åtkomstkontroll för Service Fabric-klienter

  • Artikel

Azure Service Fabric stöder två olika typer av åtkomstkontroll för klienter som är anslutna till ett Service Fabric-kluster: administratör och användare. Med åtkomstkontroll kan klusteradministratören begränsa åtkomsten till vissa klusteråtgärder för olika användargrupper, vilket gör klustret säkrare.

Administratörer har fullständig åtkomst till hanteringsfunktioner (inklusive läs-/skrivfunktioner). Som standard har användarna bara läsbehörighet till hanteringsfunktioner (till exempel frågefunktioner) och möjlighet att lösa program och tjänster.

Du anger de två klientrollerna (administratör och klient) när klustret skapas genom att ange separata certifikat för var och en. Mer information om hur du konfigurerar ett säkert Service Fabric-kluster finns i Säkerhet för Service Fabric-kluster .

Standardinställningar för åtkomstkontroll

Administratörens åtkomstkontrolltyp har fullständig åtkomst till alla FabricClient-API:er. Den kan utföra alla läsningar och skrivningar i Service Fabric-klustret, inklusive följande åtgärder:

Program- och tjänståtgärder

  • CreateService: skapa tjänsten
  • CreateServiceFromTemplate: skapa tjänsten från mallen
  • UpdateService: tjänstuppdateringar
  • DeleteService: borttagning av tjänst
  • ProvisionApplicationType: etablering av programtyp
  • CreateApplication: skapa program
  • DeleteApplication: programborttagning
  • UpgradeApplication: starta eller avbryta programuppgraderingar
  • UnprovisionApplicationType: avetablering av programtyp
  • MoveNextUpgradeDomain: återuppta programuppgraderingar med en explicit uppdateringsdomän
  • ReportUpgradeHealth: återuppta programuppgraderingar med den aktuella uppgraderingsförloppet
  • ReportHealth: rapporteringshälsa
  • PredeployPackageToNode: API för fördistribution
  • CodePackageControl: starta om kodpaket
  • RecoverPartition: återställa en partition
  • RecoverPartitions: återställa partitioner
  • RecoverServicePartitions: återställa tjänstpartitioner
  • RecoverSystemPartitions: återställa systemtjänstpartitioner

Klusteråtgärder

  • ProvisionFabric: ETABLERING av MSI- och/eller klustermanifest
  • UpgradeFabric: starta klusteruppgraderingar
  • UnprovisionFabric: MSI och/eller klustermanifestet avetablering
  • MoveNextFabricUpgradeDomain: återuppta klusteruppgraderingar med en explicit uppdateringsdomän
  • ReportFabricUpgradeHealth: återuppta klusteruppgraderingar med den aktuella uppgraderingsförloppet
  • StartInfrastructureTask: starta infrastrukturuppgifter
  • FinishInfrastructureTask: slutför infrastrukturuppgifter
  • InvokeInfrastructureCommand: infrastrukturuppgiftshanteringskommandon
  • ActivateNode: aktivera en nod
  • InaktiveraNod: inaktivera en nod
  • InaktiveraNodesBatch: inaktivera flera noder
  • RemoveNodeDeactivations: återställa inaktivering på flera noder
  • GetNodeDeactivationStatus: kontrollera inaktiveringsstatus
  • NodeStateRemoved: rapportnodtillståndet har tagits bort
  • ReportFault: rapporteringsfel
  • FileContent: klientfilöverföring för avbildningsarkiv (externt till kluster)
  • FileDownload: initiering av nedladdning av klientfil för avbildningsarkiv (externt till kluster)
  • InternalList: klientfillisteåtgärd för avbildningsarkiv (intern)
  • Ta bort: borttagningsåtgärd för avbildningsarkivklient
  • Ladda upp: uppladdningsåtgärd för avbildningsarkivklient
  • NodeControl: starta, stoppa och starta om noder
  • MoveReplicaControl: flytta repliker från en nod till en annan

Diverse åtgärder

  • Ping: klient pingar
  • Fråga: alla frågor tillåts
  • NameExists: namnge URI-existenskontroller

Användaråtkomstkontrolltypen är som standard begränsad till följande åtgärder:

  • EnumerateSubnames: namngivning av URI-uppräkning
  • UppräkningEgenskaper: namnge egenskapsuppräkning
  • PropertyReadBatch: namnge läsåtgärder för egenskapen
  • GetServiceDescription: aviseringar om lång omröstningstjänst och läsning av tjänstbeskrivningar
  • ResolveService: klagomålsbaserad tjänstmatchning
  • ResolveNameOwner: matcha namngivning av URI-ägare
  • ResolvePartition: lösa systemtjänster
  • ServiceNotifications: händelsebaserade tjänstmeddelanden
  • GetUpgradeStatus: avsökning av programuppgraderingsstatus
  • GetFabricUpgradeStatus: uppgraderingsstatus för avsökningskluster
  • InvokeInfrastructureQuery: köra frågor mot infrastrukturuppgifter
  • Lista: fillistningsåtgärd för avbildningsarkiv
  • ResetPartitionLoad: återställa belastningen för en redundansenhet
  • ToggleVerboseServicePlacementHealthReporting: toggling verbose service placement health reporting

Administratörsåtkomstkontrollen har också åtkomst till föregående åtgärder.

Ändra standardinställningar för klientroller

I klustermanifestfilen kan du tillhandahålla administratörsfunktioner till klienten om det behövs. Du kan ändra standardinställningarna genom att gå till alternativet Infrastrukturinställningar när klustret skapas och ange föregående inställningar i fälten namn, administratör, användare och värde .

Nästa steg

Säkerhet för Service Fabric-kluster

Skapa Service Fabric-kluster