Service Fabric istemcileri için rol tabanlı erişim denetimi

  • Makale

Azure Service Fabric, Service Fabric kümesine bağlı istemciler için iki farklı erişim denetimi türünü destekler: yönetici ve kullanıcı. Erişim denetimi, küme yöneticisinin farklı kullanıcı grupları için belirli küme işlemlerine erişimi sınırlamasına olanak sağlayarak kümeyi daha güvenli hale getirir.

Yöneticilerin yönetim özelliklerine (okuma/yazma özellikleri dahil) tam erişimi vardır. Varsayılan olarak, kullanıcılar yalnızca yönetim özelliklerine (örneğin, sorgu özellikleri) okuma erişimine ve uygulama ve hizmetleri çözümleyebilme özelliğine sahiptir.

Küme oluşturma sırasında her biri için ayrı sertifikalar sağlayarak iki istemci rolünü (yönetici ve istemci) belirtirsiniz. Güvenli bir Service Fabric kümesi ayarlama hakkında ayrıntılı bilgi için bkz . Service Fabric küme güvenliği .

Varsayılan erişim denetimi ayarları

Yönetici erişim denetim türünün tüm FabricClient API'lerine tam erişimi vardır. Aşağıdaki işlemler de dahil olmak üzere Service Fabric kümesinde tüm okuma ve yazma işlemlerini gerçekleştirebilir:

Uygulama ve hizmet işlemleri

  • CreateService: hizmet oluşturma
  • CreateServiceFromTemplate: şablondan hizmet oluşturma
  • UpdateService: hizmet güncelleştirmeleri
  • DeleteService: hizmet silme
  • ProvisionApplicationType: uygulama türü sağlama
  • CreateApplication: uygulama oluşturma
  • DeleteApplication: uygulama silme
  • UpgradeApplication: Uygulama yükseltmelerini başlatma veya kesintiye uğratma
  • UnprovisionApplicationType: uygulama türü sağlamasını kaldırma
  • MoveNextUpgradeDomain: Uygulama yükseltmelerini açık bir güncelleştirme etki alanıyla devam ettirme
  • ReportUpgradeHealth: Geçerli yükseltme ilerleme durumuyla uygulama yükseltmelerini devam ettiriyor
  • ReportHealth: raporlama durumu
  • PredeployPackageToNode: predeployment API
  • CodePackageControl: Kod paketlerini yeniden başlatma
  • RecoverPartition: bölümü kurtarma
  • RecoverPartitions: bölümleri kurtarma
  • RecoverServicePartitions: hizmet bölümlerini kurtarma
  • RecoverSystemPartitions: sistem hizmeti bölümlerini kurtarma

Küm işlemleri

  • ProvisionFabric: MSI ve/veya küme bildirimi sağlama
  • UpgradeFabric: küme yükseltmelerini başlatma
  • UnprovisionFabric: MSI ve/veya küme bildirimi sağlamayı kaldırma
  • MoveNextFabricUpgradeDomain: Küme yükseltmelerini açık bir güncelleştirme etki alanıyla devam ettirme
  • ReportFabricUpgradeHealth: Küme yükseltmelerini geçerli yükseltme ilerleme durumuyla devam ettiriyor
  • StartInfrastructureTask: altyapı görevlerini başlatma
  • FinishInfrastructureTask: altyapı görevlerini tamamlama
  • InvokeInfrastructureCommand: altyapı görev yönetimi komutları
  • ActivateNode: Düğümü etkinleştirme
  • DeactivateNode: düğümü devre dışı bırakma
  • DeactivateNodesBatch: birden çok düğümü devre dışı bırakma
  • RemoveNodeDeactivations: Birden çok düğümde devre dışı bırakma işlemini geri alma
  • GetNodeDeactivationStatus: devre dışı bırakma durumunu denetleme
  • NodeStateRemoved: raporlama düğümü durumu kaldırıldı
  • ReportFault: raporlama hatası
  • FileContent: görüntü deposu istemci dosyası aktarımı (küme dışında)
  • FileDownload: görüntü deposu istemci dosyası indirme başlatma (küme dışında)
  • InternalList: görüntü deposu istemci dosya listesi işlemi (iç)
  • Sil: görüntü deposu istemci silme işlemi
  • Karşıya yükleme: görüntü deposu istemcisi karşıya yükleme işlemi
  • NodeControl: düğümleri başlatma, durdurma ve yeniden başlatma
  • MoveReplicaControl: Çoğaltmaları bir düğümden diğerine taşıma

Çeşitli işlemler

  • Ping: istemci ping'leri
  • Sorgu: tüm sorgulara izin verilir
  • NameExists: URI varlık denetimlerini adlandırma

Kullanıcı erişim denetimi türü varsayılan olarak aşağıdaki işlemlerde sınırlıdır:

  • EnumerateSubnames: adlandırma URI numaralandırması
  • EnumerateProperties: adlandırma özelliği numaralandırması
  • PropertyReadBatch: özellik okuma işlemlerini adlandırma
  • GetServiceDescription: uzun yoklama hizmeti bildirimleri ve okuma hizmeti açıklamaları
  • ResolveService: şikayete dayalı hizmet çözümü
  • ResolveNameOwner: adlandırma URI'sini sahibini çözümleme
  • ResolvePartition: sistem hizmetlerini çözümleme
  • ServiceNotifications: olay tabanlı hizmet bildirimleri
  • GetUpgradeStatus: uygulama yükseltme durumunu yoklama
  • GetFabricUpgradeStatus: yoklama kümesi yükseltme durumu
  • InvokeInfrastructureQuery: altyapı görevlerini sorgulama
  • Liste: görüntü deposu istemci dosya listesi işlemi
  • ResetPartitionLoad: Yük devretme birimi için yükü sıfırlama
  • ToggleVerboseServicePlacementHealthReporting: ayrıntılı hizmet yerleşimi sistem durumu raporlamasını düzeltme

Yönetici erişim denetiminin önceki işlemlere de erişimi vardır.

İstemci rolleri için varsayılan ayarları değiştirme

Küme bildirim dosyasında, gerekirse istemciye yönetici özellikleri sağlayabilirsiniz. Küme oluşturma sırasında Doku Ayarları seçeneğine gidip ad, yönetici, kullanıcı ve değer alanlarında önceki ayarları sağlayarak varsayılanları değiştirebilirsiniz.

Sonraki adımlar

Service Fabric küme güvenliği

Service Fabric kümesi oluşturma