Řízení přístupu na základě role pro klienty Service Fabric

  • Článek

Azure Service Fabric podporuje dva různé typy řízení přístupu pro klienty připojené ke clusteru Service Fabric: správce a uživatel. Řízení přístupu umožňuje správci clusteru omezit přístup k určitým operacím clusteru pro různé skupiny uživatelů, aby byl cluster lépe zabezpečený.

Správci mají úplný přístup k možnostem správy (včetně funkcí pro čtení a zápis). Ve výchozím nastavení mají uživatelé přístup jen pro čtení k možnostem správy (například k dotazování) a k řešení problémů s aplikacemi a službami.

Při vytváření clusteru určíte dvě role klienta (správce a klient) tak, že pro každou z nich poskytnete samostatné certifikáty. Podrobnosti o nastavení zabezpečeného clusteru Service Fabric najdete v tématu Zabezpečení clusteru Service Fabric.

Výchozí nastavení řízení přístupu

Typ řízení přístupu správce má úplný přístup ke všem rozhraním API FabricClient. V clusteru Service Fabric může provádět všechna čtení a zápisy, včetně následujících operací:

Operace aplikací a služeb

  • CreateService: vytvoření služby
  • CreateServiceFromTemplate: vytvoření služby ze šablony
  • UpdateService: aktualizace služby
  • DeleteService: odstranění služby
  • ProvisionApplicationType: zřizování typu aplikace
  • CreateApplication: vytvoření aplikace
  • DeleteApplication: odstranění aplikace
  • UpgradeApplication: spuštění nebo přerušení upgradů aplikací
  • UnprovisionApplicationType: zrušení zřizování typu aplikace
  • MoveNextUpgradeDomain: Obnovení upgradů aplikací s explicitní aktualizační doménou
  • ReportUpgradeHealth: Obnovení upgradů aplikací s aktuálním průběhem upgradu
  • ReportHealth: Reporting Health
  • PredeployPackageToNode: rozhraní API před nasazením
  • CodePackageControl: restartování balíčků kódu
  • RecoverPartition: Obnovení oddílu
  • RecoverPartitions: Obnovení oddílů
  • RecoverServicePartitions: Obnovení oddílů služby
  • RecoverSystemPartitions: Obnovení oddílů systémové služby

Operace clusteru

  • ProvisionFabric: Zřizování manifestu clusteru nebo MSI
  • UpgradeFabric: Spuštění upgradů clusteru
  • Zrušení zřizováníFabric: Zrušení zřízení manifestu msi nebo clusteru
  • MoveNextFabricUpgradeDomain: Obnovení upgradů clusteru s explicitní aktualizační doménou
  • ReportFabricUpgradeHealth: Obnovení upgradů clusteru s aktuálním průběhem upgradu
  • StartInfrastructureTask: spouštění úloh infrastruktury
  • FinishInfrastructureTask: Dokončení úkolů infrastruktury
  • InvokeInfrastructureCommand: příkazy pro správu úloh infrastruktury
  • ActivateNode: Aktivace uzlu
  • DeactivateNode: deaktivace uzlu
  • DeactivateNodesBatch: deaktivace více uzlů
  • RemoveNodeDeactivations: Vrácení deaktivace na více uzlech
  • GetNodeDeactivationStatus: kontrola stavu deaktivace
  • NodeStateRemoved: Odebrání stavu uzlu generování sestav
  • ReportFault: hlášení chyby
  • FileContent: přenos souborů klienta úložiště imagí (externí pro cluster)
  • FileDownload: Inicializace stahování klientského souboru úložiště imagí (externí pro cluster)
  • InternalList: Operace se seznamem klientských souborů ukládání imagí (interní)
  • Odstranění: operace odstranění klienta úložiště imagí
  • Upload: image store client upload operation
  • NodeControl: spouštění, zastavování a restartování uzlů
  • MoveReplicaControl: přesun replik z jednoho uzlu do druhého

Různé operace

  • Ping: klientské příkazy ping
  • Dotaz: Všechny dotazy jsou povolené.
  • NameExists: Kontroly existence pojmenování identifikátoru URI

Typ řízení přístupu uživatele je ve výchozím nastavení omezený na následující operace:

  • EnumerateSubnames: Výčet názvů URI
  • EnumerateProperties: výčet vlastností pojmenování
  • PropertyReadBatch: operace čtení vlastností pojmenování
  • GetServiceDescription: oznámení služby s dlouhým dotazem a čtení popisů služby
  • ResolveService: Řešení služeb na základě stížností
  • ResolveNameOwner: Překlad vlastníka URI pro pojmenování
  • ResolvePartition: Překlad systémových služeb
  • ServiceNotifications: Oznámení služby na základě událostí
  • GetUpgradeStatus: dotazování stavu upgradu aplikace
  • GetFabricUpgradeStatus: dotazování stavu upgradu clusteru
  • InvokeInfrastructureQuery: dotazování úloh infrastruktury
  • Seznam: Operace výpisu klientských souborů úložiště imagí
  • ResetPartitionLoad: Resetování zatížení pro jednotku převzetí služeb při selhání
  • ToggleVerboseServicePlacementHealthReporting: Přepínání podrobných sestav stavu umístění služby

Řízení přístupu správce má také přístup k předchozím operacím.

Změna výchozího nastavení pro role klienta

V souboru manifestu clusteru můžete v případě potřeby klientovi poskytnout možnosti správy. Výchozí nastavení můžete změnit tak, že při vytváření clusteru přejdete na možnost Nastavení prostředků infrastruktury a zadáte předchozí nastavení do polí jméno, správce, uživatel a hodnota.

Další kroky

Zabezpečení clusteru Service Fabric

Vytvoření clusteru Service Fabric