Kontrol akses berbasis peran untuk klien Service Fabric

  • Artikel

Azure Service Fabric mendukung dua jenis kontrol akses yang berbeda untuk klien yang terhubung ke kluster Kain Layanan: administrator dan pengguna. Kontrol akses memungkinkan administrator klaster untuk membatasi akses ke operasi klaster tertentu untuk berbagai kelompok pengguna, membuat klaster lebih aman.

Administrator memiliki akses penuh ke kapabilitas manajemen (termasuk kemampuan baca/tulis). Secara default, pengguna hanya memiliki akses baca ke kapabilitas manajemen (misalnya, kapabilitas kueri), dan kemampuan untuk mengatasi aplikasi dan layanan.

Anda menentukan dua peran klien (administrator dan klien) pada saat pembuatan klaster dengan memberikan sertifikat terpisah untuk masing-masing. Lihat keamanan klaster Service Fabric untuk detail tentang pengaturan klaster Service Fabric yang aman.

Pengaturan kontrol akses default

Jenis kontrol akses administrator memiliki akses penuh ke semua API FabricClient. Ini dapat melakukan bacaan dan tulisan apa pun pada klaster Kain Layanan, termasuk operasi berikut:

Operasi aplikasi dan layanan

  • CreateService: pembuatan layanan
  • CreateServiceFromTemplate: pembuatan layanan dari template
  • UpdateService: pembaruan layanan
  • DeleteService: penghapusan layanan
  • ProvisionApplicationType: penyediaan jenis aplikasi
  • CreateApplication: pembuatan aplikasi
  • DeleteApplication: penghapusan aplikasi
  • UpgradeApplication: memulai atau mengganggu peningkatan aplikasi
  • UnprovisionApplicationType: jenis aplikasi tidak diprovisioning
  • MoveNextUpgradeDomain: melanjutkan pemutakhiran aplikasi dengan domain pembaruan eksplisit
  • ReportUpgradeHealth: melanjutkan peningkatan aplikasi dengan kemajuan peningkatan saat ini
  • ReportHealth: melaporkan kesehatan
  • PredeployPackageToNode: API pradeployment
  • CodePackageControl: memulai ulang paket kode
  • RecoverPartition: memulihkan partisi
  • RecoverPartitions: memulihkan partisi
  • RecoverServicePartitions: memulihkan partisi layanan
  • RecoverSystemPartitions: memulihkan partisi layanan sistem

Operasi klaster

  • ProvisionFabric: Penyediaan manifes MSI dan/atau klaster
  • UpgradeFabric: memulai peningkatan klaster
  • UnprovisionFabric: MSI dan/atau cluster manifest unprovisioning
  • MoveNextFabricUpgradeDomain: melanjutkan pemutakhiran klaster dengan domain pembaruan eksplisit
  • ReportFabricUpgradeHealth: melanjutkan peningkatan klaster dengan kemajuan peningkatan saat ini
  • StartInfrastructureTask: memulai tugas infrastruktur
  • FinishInfrastructureTask: menyelesaikan tugas infrastruktur
  • InvokeInfrastructureCommand: perintah manajemen tugas infrastruktur
  • ActivateNode: mengaktifkan node
  • NonaktifkanNode: menonaktifkan node
  • NonaktifkanNodesBatch: menonaktifkan beberapa node
  • RemoveNodeDeactivations: mengembalikan penonaktifan pada beberapa node
  • GetNodeDeactivationStatus: memeriksa status penonaktifan
  • NodeStateRemoved: status node pelaporan dihapus
  • ReportFault: kesalahan pelaporan
  • FileContent: transfer file klien penyimpanan gambar (eksternal ke klaster)
  • FileDownload: inisiasi unduhan file klien toko gambar (eksternal ke klaster)
  • InternalList: operasi daftar file klien penyimpanan gambar (internal)
  • Hapus: operasi hapus klien penyimpanan gambar
  • Upload: operasi pengunggahan klien toko gambar
  • NodeControl: memulai, menghentikan, dan me-restart node
  • MoveReplicaControl: memindahkan replika dari satu node ke node lainnya

Operasi lain-lain

  • Ping: ping klien
  • Kueri: semua kueri diperbolehkan
  • NameExists: penamaan pemeriksaan keberadaan URI

Tipe kontrol akses pengguna, secara default, terbatas pada operasi berikut:

  • EnumerateSubnames: penamaan penamaan pencacahan URI
  • EnumerateProperties: penamaan penamaan pencacahan properti
  • PropertyReadBatch: menamai operasi baca properti
  • GetServiceDescription: pemberitahuan layanan polling panjang dan deskripsi layanan membaca
  • ResolveService: resolusi layanan berbasis keluhan
  • ResolveNameOwner: menyelesaikan penamaan pemilik URI
  • ResolvePartition: menyelesaikan layanan sistem
  • ServiceNotifications: pemberitahuan layanan berbasis peristiwa
  • GetUpgradeStatus: status peningkatan aplikasi polling
  • GetFabricUpgradeStatus: status peningkatan klaster polling
  • InvokeInfrastructureQuery: mengkueri tugas infrastruktur
  • Daftar: operasi daftar file klien penyimpanan gambar
  • ResetPartitionLoad: mengatur ulang beban untuk unit failover
  • ToggleVerboseServicePlacementHealthReporting: toggling verbose service placement health reporting

Kontrol akses admin juga memiliki akses ke operasi sebelumnya.

Mengubah pengaturan default untuk peran klien

Dalam file manifes klaster, Anda dapat memberikan kemampuan admin kepada klien jika diperlukan. Anda dapat mengubah default dengan masuk ke opsi Pengaturan Kain selama pembuatan klaster,dan menyediakan pengaturan sebelumnya dalam nama,admin,pengguna, danbidang nilai.

Langkah berikutnya

aktivitas klaster Service Fabric

aktivitas klaster Service Fabric