Rollbaserad åtkomstkontroll för Service Fabric-klienter

  • Artikel

Azure Service Fabric stöder två olika åtkomstkontrolltyper för klienter som är anslutna till ett Service Fabric-kluster: administratör och användare. Med åtkomstkontroll kan klusteradministratören begränsa åtkomsten till vissa klusteråtgärder för olika användargrupper, vilket gör klustret säkrare.

Administratörer har fullständig åtkomst till hanteringsfunktioner (inklusive läs-/skrivfunktioner). Som standard har användarna bara läsbehörighet till hanteringsfunktioner (till exempel frågefunktioner) och möjlighet att lösa program och tjänster.

Du anger de två klientrollerna (administratör och klient) när klustret skapas genom att tillhandahålla separata certifikat för var och en. Mer information om hur du konfigurerar ett säkert Service Fabric-kluster finns i Säkerhet för Service Fabric-kluster .

Standardinställningar för åtkomstkontroll

Administratörens åtkomstkontrolltyp har fullständig åtkomst till alla FabricClient-API:er. Den kan utföra alla läsningar och skrivningar i Service Fabric-klustret, inklusive följande åtgärder:

Program- och tjänståtgärder

  • CreateService: skapa tjänsten
  • CreateServiceFromTemplate: skapa tjänsten från mallen
  • UpdateService: tjänstuppdateringar
  • DeleteService: borttagning av tjänst
  • ProvisionApplicationType: etablering av programtyp
  • CreateApplication: skapa program
  • DeleteApplication: borttagning av program
  • UpgradeApplication: starta eller avbryta programuppgraderingar
  • UnprovisionApplicationType: avetablering av programtyp
  • MoveNextUpgradeDomain: återuppta programuppgraderingar med en explicit uppdateringsdomän
  • ReportUpgradeHealth: återuppta programuppgraderingar med den aktuella uppgraderingsförloppet
  • ReportHealth: rapporteringshälsa
  • PredeployPackageToNode: API för fördistribution
  • CodePackageControl: starta om kodpaket
  • RecoverPartition: återställa en partition
  • RecoverPartitions: återställa partitioner
  • RecoverServicePartitions: återställa tjänstpartitioner
  • RecoverSystemPartitions: återställa systemtjänstpartitioner

Klusteråtgärder

  • ProvisionFabric: MSI och/eller klustermanifestetettablering
  • UpgradeFabric: starta klusteruppgraderingar
  • UnprovisionFabric: MSI och/eller avetablering av klustermanifest
  • MoveNextFabricUpgradeDomain: återuppta klusteruppgraderingar med en explicit uppdateringsdomän
  • ReportFabricUpgradeHealth: återuppta klusteruppgraderingar med den aktuella uppgraderingsförloppet
  • StartInfrastructureTask: starta infrastrukturaktiviteter
  • FinishInfrastructureTask: slutför infrastrukturuppgifter
  • InvokeInfrastructureCommand: infrastrukturkommandon för uppgiftshantering
  • ActivateNode: aktivera en nod
  • InaktiveraNod: inaktivera en nod
  • InaktiveraNodesBatch: inaktivera flera noder
  • RemoveNodeDeactivations: återställa inaktivering på flera noder
  • GetNodeDeactivationStatus: kontrollerar inaktiveringsstatus
  • NodeStateRemoved: rapportnodtillståndet har tagits bort
  • ReportFault: rapporteringsfel
  • FileContent: klientfilöverföring för avbildningsarkiv (externt till kluster)
  • FileDownload: initiering av nedladdning av klientfil för avbildningsarkiv (externt till kluster)
  • InternalList: klientfilsliståtgärd för avbildningsarkiv (intern)
  • Ta bort: borttagningsåtgärd för avbildningsarkivklient
  • Ladda upp: uppladdningsåtgärd för avbildningsarkivklient
  • NodeControl: starta, stoppa och starta om noder
  • MoveReplicaControl: flytta repliker från en nod till en annan

Diverse åtgärder

  • Ping: klient pingar
  • Fråga: alla frågor som tillåts
  • NameExists: namnge URI-existenskontroller

Användaråtkomstkontrolltypen är som standard begränsad till följande åtgärder:

  • EnumerateSubnames: naming URI enumeration
  • UppräkningEgenskaper: namngivning av egenskapsuppräkning
  • PropertyReadBatch: namngivning av läsåtgärder för egenskapen
  • GetServiceDescription: aviseringar om lång omröstningstjänst och läsning av tjänstbeskrivningar
  • ResolveService: klagomålsbaserad tjänstmatchning
  • ResolveNameOwner: lösa namngivning av URI-ägare
  • ResolvePartition: lösa systemtjänster
  • ServiceNotifications: händelsebaserade tjänstmeddelanden
  • GetUpgradeStatus: avsökningsstatus för programuppgradering
  • GetFabricUpgradeStatus: uppgraderingsstatus för avsökningskluster
  • InvokeInfrastructureQuery: köra frågor mot infrastrukturuppgifter
  • Lista: fillistningsåtgärd för avbildningsarkiv
  • ResetPartitionLoad: återställa belastningen för en redundansenhet
  • ToggleVerboseServicePlacementHealthReporting: toggling verbose service placement health reporting

Administratörsåtkomstkontrollen har också åtkomst till föregående åtgärder.

Ändra standardinställningar för klientroller

I klustermanifestfilen kan du tillhandahålla administratörsfunktioner till klienten om det behövs. Du kan ändra standardinställningarna genom att gå till alternativet Infrastrukturinställningar när klustret skapas och ange föregående inställningar i fälten namn, administratör, användare och värde .

Nästa steg

Säkerhet för Service Fabric-kluster

Skapa Service Fabric-kluster