Service Fabric istemcileri için rol tabanlı erişim denetimi

  • Makale

Azure Service Fabric, Service Fabric kümesine bağlı istemciler için yönetici ve kullanıcı olmak üzere iki farklı erişim denetimi türünü destekler. Erişim denetimi, küme yöneticisinin farklı kullanıcı grupları için belirli küme işlemlerine erişimi sınırlamasına olanak sağlayarak kümeyi daha güvenli hale getirir.

Yöneticiler yönetim özelliklerine (okuma/yazma özellikleri dahil) tam erişime sahiptir. Varsayılan olarak , kullanıcılar yalnızca yönetim özelliklerine (örneğin, sorgu özellikleri) okuma erişimine ve uygulama ve hizmetleri çözümleme yeteneğine sahiptir.

Küme oluşturma sırasında her biri için ayrı sertifikalar sağlayarak iki istemci rolünü (yönetici ve istemci) belirtirsiniz. Güvenli bir Service Fabric kümesi ayarlama hakkında ayrıntılı bilgi için bkz. Service Fabric küme güvenliği.

Varsayılan erişim denetimi ayarları

Yönetici erişim denetimi türünün tüm FabricClient API'lerine tam erişimi vardır. Aşağıdaki işlemler de dahil olmak üzere Service Fabric kümesinde tüm okuma ve yazma işlemlerini gerçekleştirebilir:

Uygulama ve hizmet işlemleri

  • CreateService: hizmet oluşturma
  • CreateServiceFromTemplate: şablondan hizmet oluşturma
  • UpdateService: hizmet güncelleştirmeleri
  • DeleteService: hizmet silme
  • ProvisionApplicationType: uygulama türü sağlama
  • CreateApplication: uygulama oluşturma
  • DeleteApplication: uygulama silme
  • UpgradeApplication: Uygulama yükseltmelerini başlatma veya kesintiye uğratma
  • UnprovisionApplicationType: uygulama türü sağlamasını kaldırma
  • MoveNextUpgradeDomain: Uygulama yükseltmelerini açık bir güncelleştirme etki alanıyla devam ettirme
  • ReportUpgradeHealth: Geçerli yükseltme ilerleme durumuyla uygulama yükseltmelerini devam ettiriyor
  • ReportHealth: raporlama durumu
  • PredeployPackageToNode: predeployment API
  • CodePackageControl: kod paketlerini yeniden başlatma
  • RecoverPartition: bölümü kurtarma
  • RecoverPartitions: bölümleri kurtarma
  • RecoverServicePartitions: hizmet bölümlerini kurtarma
  • RecoverSystemPartitions: sistem hizmeti bölümlerini kurtarma

Küm işlemleri

  • ProvisionFabric: MSI ve/veya küme bildirimi sağlama
  • UpgradeFabric: küme yükseltmelerini başlatma
  • UnprovisionFabric: MSI ve/veya küme bildirimi sağlamayı kaldırma
  • MoveNextFabricUpgradeDomain: Açık bir güncelleştirme etki alanıyla küme yükseltmelerini devam ettirme
  • ReportFabricUpgradeHealth: Geçerli yükseltme ilerleme durumuyla küme yükseltmelerini devam ettiriyor
  • StartInfrastructureTask: altyapı görevlerini başlatma
  • FinishInfrastructureTask: Altyapı görevlerini tamamlama
  • InvokeInfrastructureCommand: altyapı görev yönetimi komutları
  • ActivateNode: Düğümü etkinleştirme
  • DeactivateNode: düğümü devre dışı bırakma
  • DeactivateNodesBatch: birden çok düğümü devre dışı bırakma
  • RemoveNodeDeactivations: Birden çok düğümde devre dışı bırakma işlemini geri alma
  • GetNodeDeactivationStatus: devre dışı bırakma durumunu denetleme
  • NodeStateRemoved: raporlama düğümü durumu kaldırıldı
  • ReportFault: hata bildirme
  • FileContent: görüntü deposu istemci dosya aktarımı (küme dışında)
  • FileDownload: görüntü deposu istemci dosyası indirme başlatması (küme dışında)
  • InternalList: görüntü deposu istemci dosya listesi işlemi (iç)
  • Sil: görüntü deposu istemci silme işlemi
  • Karşıya yükleme: görüntü deposu istemcisi karşıya yükleme işlemi
  • NodeControl: düğümleri başlatma, durdurma ve yeniden başlatma
  • MoveReplicaControl: Çoğaltmaları bir düğümden diğerine taşıma

Çeşitli işlemler

  • Ping: istemci ping'leri
  • Sorgu: tüm sorgulara izin verilir
  • NameExists: adlandırma URI varlığı denetimleri

Kullanıcı erişim denetimi türü varsayılan olarak aşağıdaki işlemlerde sınırlıdır:

  • EnumerateSubnames: adlandırma URI numaralandırması
  • EnumerateProperties: adlandırma özelliği numaralandırması
  • PropertyReadBatch: özellik okuma işlemlerini adlandırma
  • GetServiceDescription: uzun yoklama hizmeti bildirimleri ve okuma hizmeti açıklamaları
  • ResolveService: şikayet tabanlı hizmet çözümü
  • ResolveNameOwner: adlandırma URI'si sahibini çözme
  • ResolvePartition: sistem hizmetlerini çözümleme
  • ServiceNotifications: olay tabanlı hizmet bildirimleri
  • GetUpgradeStatus: uygulama yükseltme durumunu yoklama
  • GetFabricUpgradeStatus: küme yükseltme durumunu yoklama
  • InvokeInfrastructureQuery: altyapı görevlerini sorgulama
  • Liste: görüntü deposu istemci dosya listesi işlemi
  • ResetPartitionLoad: Yük devretme birimi için yükü sıfırlama
  • ToggleVerboseServicePlacementHealthReporting: ayrıntılı hizmet yerleşimi sistem durumu raporlamasını düzeltme

Yönetici erişim denetiminin önceki işlemlere de erişimi vardır.

İstemci rolleri için varsayılan ayarları değiştirme

Küme bildirim dosyasında, gerekirse istemciye yönetici özellikleri sağlayabilirsiniz. Küme oluşturma sırasında Doku Ayarları seçeneğine gidip ad, yönetici, kullanıcı ve değer alanlarında önceki ayarları sağlayarak varsayılanları değiştirebilirsiniz.

Sonraki adımlar

Service Fabric küme güvenliği

Service Fabric kümesi oluşturma