Önálló fürt védelme Windows rendszeren a Windows biztonságával
A Service Fabric-fürtökhöz való jogosulatlan hozzáférés megakadályozásához biztonságossá kell tennie a fürtöt. A biztonság különösen fontos, ha a fürt éles számítási feladatokat futtat. Ez a cikk azt ismerteti, hogyan konfigurálhatja a csomópontok közötti és az ügyfél-csomópont közötti biztonságot a Windows biztonságának használatával a ClusterConfig.JSON fájlban. A folyamat megfelel a Windowson futó önálló fürt létrehozása biztonsági lépésének. További információ arról, hogy a Service Fabric hogyan használja a Windows-biztonságot: Fürtbiztonsági forgatókönyvek.
Megjegyzés
Körültekintően kell megfontolnia a csomópontok közötti biztonság kiválasztását, mert nincs fürtfrissítés egyik biztonsági lehetőségről a másikra. A biztonsági kijelölés módosításához újra kell építenie a teljes fürtöt.
A Windows biztonságának konfigurálása a gMSA használatával
A gMSA az előnyben részesített biztonsági modell. A Microsoft.Azure.ServiceFabric.WindowsServer használatával letöltött ClusterConfig.gMSA.Windows.MultiMachine.JSON konfigurációs mintafájl .<.zip> különálló fürtcsomag egy sablont tartalmaz a Windows biztonság csoportházirend-felügyelt szolgáltatásfiók (gMSA) használatával történő konfigurálásához:
"security": {
"ClusterCredentialType": "Windows",
"ServerCredentialType": "Windows",
"WindowsIdentities": {
"ClustergMSAIdentity": "[gMSA Identity]",
"ClusterSPN": "[Registered SPN for the gMSA account]",
"ClientIdentities": [
{
"Identity": "domain\\username",
"IsAdmin": true
}
]
}
}
Konfigurációs beállítás | Leírás |
---|---|
ClusterCredentialType | Állítsa a Windows értékre, hogy engedélyezze a Windows biztonságát a csomópontok közötti kommunikációhoz. |
ServerCredentialType | Állítsa a Windows értékre a Windows biztonságának engedélyezéséhez az ügyfélcsomópontos kommunikációhoz. |
WindowsIdentitások | A fürt- és ügyfélidentitásokat tartalmazza. |
ClustergMSAIdentity | A csomópontok csomópontok között történő biztonságát konfigurálja. Csoport által felügyelt szolgáltatásfiók. "mysfgmsa@mydomain" formátumúnak kell lennie. |
ClusterSPN | Regisztrált SPN a gMSA-fiókhoz |
Ügyfélidentitások | Konfigurálja az ügyfél-csomópontok biztonságát. Ügyfélfelhasználói fiókok tömbje. |
Identitás | Adja hozzá az ügyfélidentitáshoz a tartományi felhasználót(tartomány\felhasználónév). |
IsAdmin | Állítsa igaz értékre annak megadásához, hogy a tartományi felhasználó rendelkezik-e rendszergazdai ügyfélhozzáféréssel, vagy hamis-e a felhasználói ügyfélhozzáférés. |
A csomópontok közötti biztonság a ClustergMSAIdentity beállításával van konfigurálva, amikor a service fabricnek a gMSA alatt kell futnia. A csomópontok közötti megbízhatósági kapcsolatok kiépítéséhez tisztában kell lenniük egymással. Ez kétféleképpen valósítható meg: Adja meg azt a csoport által felügyelt szolgáltatásfiókot, amely a fürt összes csomópontját tartalmazza, vagy adja meg azt a tartományigép-csoportot, amely a fürt összes csomópontját tartalmazza. Határozottan javasoljuk a csoportos felügyeltszolgáltatás-fiók (gMSA) megközelítés használatát, különösen a nagyobb fürtök (több mint 10 csomópont) vagy a nagy valószínűséggel növekvő vagy zsugorodó fürtök esetében.
Ez a megközelítés nem követeli meg olyan tartománycsoport létrehozását, amelyhez a fürtgazdák hozzáférési jogosultságot kaptak a tagok hozzáadásához és eltávolításához. Ezek a fiókok az automatikus jelszókezeléshez is hasznosak. További információ: Első lépések csoport által felügyelt szolgáltatásfiókokkal.
Az ügyfél és a csomópont biztonsága a ClientIdentities használatával van konfigurálva. Az ügyfél és a fürt közötti megbízhatóság kialakításához konfigurálnia kell a fürtöt, hogy tudja, mely ügyfélidentitásokban bízhat meg. Ez kétféleképpen végezhető el: Adja meg azokat a tartománycsoport-felhasználókat, amelyek csatlakozhatnak, vagy megadhatja a csatlakozni képes tartományi csomópont felhasználóit. A Service Fabric két különböző hozzáférés-vezérlési típust támogat a Service Fabric-fürthöz csatlakozó ügyfelek esetében: rendszergazda és felhasználó. A hozzáférés-vezérlés lehetővé teszi, hogy a fürt rendszergazdája korlátozza a fürtműveletek bizonyos típusaihoz való hozzáférést a különböző felhasználói csoportok számára, így a fürt biztonságosabb lesz. A rendszergazdák teljes hozzáféréssel rendelkeznek a felügyeleti képességekhez (beleértve az olvasási/írási képességeket is). A felhasználók alapértelmezés szerint csak olvasási hozzáféréssel rendelkeznek a felügyeleti képességekhez (például lekérdezési képességekhez), valamint az alkalmazások és szolgáltatások megoldásához. A hozzáférés-vezérlésről további információt a Service Fabric-ügyfelek szerepköralapú hozzáférés-vezérlése című témakörben talál.
A következő biztonsági példaszakasz a Windows biztonságát a gMSA használatával konfigurálja, és megadja, hogy a ServiceFabric.clusterA.contoso.com gMSA-ban lévő gépek a fürt részét képezik, és hogy a CONTOSO\usera rendszergazdai ügyfélhozzáférésekkel rendelkezik:
"security": {
"ClusterCredentialType": "Windows",
"ServerCredentialType": "Windows",
"WindowsIdentities": {
"ClustergMSAIdentity" : "ServiceFabric.clusterA.contoso.com",
"ClusterSPN" : "http/servicefabric/clusterA.contoso.com",
"ClientIdentities": [{
"Identity": "CONTOSO\\usera",
"IsAdmin": true
}]
}
}
Windows-biztonság konfigurálása gépcsoport használatával
A fenti részletezett módon a gMSA előnyben részesített, de ez a biztonsági modell is támogatott. A Microsoft.Azure.ServiceFabric.WindowsServer használatával letöltött ClusterConfig.Windows.MultiMachine.JSON konfigurációs mintafájl .<.zip> különálló fürtcsomag egy sablont tartalmaz a Windows biztonságának konfigurálásához. A Windows biztonsága a Tulajdonságok szakaszban van konfigurálva:
"security": {
"ClusterCredentialType": "Windows",
"ServerCredentialType": "Windows",
"WindowsIdentities": {
"ClusterIdentity" : "[domain\machinegroup]",
"ClientIdentities": [{
"Identity": "[domain\username]",
"IsAdmin": true
}]
}
}
Konfigurációs beállítás | Leírás |
---|---|
ClusterCredentialType | Állítsa a Windows értékre, hogy engedélyezze a Windows biztonságát a csomópontok közötti kommunikációhoz. |
ServerCredentialType | Állítsa a Windows értékre a Windows biztonságának engedélyezéséhez az ügyfélcsomópontos kommunikációhoz. |
WindowsIdentitások | A fürt- és ügyfélidentitásokat tartalmazza. |
ClusterIdentity | A csomópontok csomópontok között történő biztonságának konfigurálásához használjon egy tartomány\machinegroup nevű gépcsoportot. |
Ügyfélidentitások | Konfigurálja az ügyfél-csomópontok biztonságát. Ügyfélfelhasználói fiókok tömbje. |
Identitás | Adja hozzá az ügyfélidentitáshoz a tartományi felhasználót(tartomány\felhasználónév). |
IsAdmin | Állítsa igaz értékre annak megadásához, hogy a tartományi felhasználó rendelkezik-e rendszergazdai ügyfélhozzáféréssel, vagy hamis-e a felhasználói ügyfélhozzáférés. |
A csomópontok közötti biztonság a ClusterIdentity beállításával van konfigurálva, ha egy Active Directory-tartomány belüli gépcsoportot szeretne használni. További információ: Gépcsoport létrehozása az Active Directoryban.
Az ügyfél-csomópont biztonság a ClientIdentities használatával van konfigurálva. Az ügyfél és a fürt közötti megbízhatóság létrehozásához konfigurálnia kell a fürtöt, hogy megismerje azokat az ügyfélidentitásokat, amelyekben a fürt megbízhat. A megbízhatóságot kétféleképpen hozhatja létre:
- Adja meg a csatlakozni tudó tartománycsoport-felhasználókat.
- Adja meg a csatlakoztatható tartományi csomópont felhasználóit.
A Service Fabric két különböző hozzáférés-vezérlési típust támogat a Service Fabric-fürthöz csatlakozó ügyfelek esetében: rendszergazda és felhasználó. A hozzáférés-vezérlés lehetővé teszi a fürt rendszergazdájának, hogy bizonyos típusú fürtműveletekhez való hozzáférést korlátozza a különböző felhasználói csoportok számára, ami biztonságosabbá teszi a fürtöt. A rendszergazdák teljes hozzáféréssel rendelkeznek a felügyeleti képességekhez (beleértve az olvasási/írási képességeket is). A felhasználók alapértelmezés szerint csak olvasási hozzáféréssel rendelkeznek a felügyeleti képességekhez (például lekérdezési képességekhez), valamint az alkalmazások és szolgáltatások megoldásához.
A következő biztonsági példaszakasz a Windows biztonságát konfigurálja, megadja, hogy a ServiceFabric/clusterA.contoso.com webhely gépei a fürt részei, és megadja, hogy a CONTOSO\usera rendszergazdai ügyfélhozzáférésekkel rendelkezik:
"security": {
"ClusterCredentialType": "Windows",
"ServerCredentialType": "Windows",
"WindowsIdentities": {
"ClusterIdentity" : "ServiceFabric/clusterA.contoso.com",
"ClientIdentities": [{
"Identity": "CONTOSO\\usera",
"IsAdmin": true
}]
}
},
Megjegyzés
A Service Fabric nem helyezhető üzembe tartományvezérlőn. Győződjön meg arról, hogy a ClusterConfig.json nem tartalmazza a tartományvezérlő IP-címét gépcsoport vagy csoport felügyelt szolgáltatásfiók (gMSA) használatakor.
Következő lépések
Miután konfigurálta a Windows biztonságát a ClusterConfig.JSON fájlban, folytassa a fürtlétrehozási folyamatot a Windowson futó önálló fürt létrehozása című témakörben.
A csomópontok közötti biztonságról, az ügyfél-csomópontok közötti biztonságról és a szerepköralapú hozzáférés-vezérlésről további információt a Fürtbiztonsági forgatókönyvek című témakörben talál.
A Csatlakozás biztonságos fürthöz című témakörben talál példákat a PowerShell vagy a FabricClient használatával történő csatlakozásra.