Op rollen gebaseerd toegangsbeheer voor Service Fabric-clients

  • Artikel

Azure Service Fabric ondersteunt twee verschillende typen toegangsbeheer voor clients die zijn verbonden met een Service Fabric-cluster: beheerder en gebruiker. Met toegangsbeheer kan de clusterbeheerder de toegang tot bepaalde clusterbewerkingen voor verschillende groepen gebruikers beperken, waardoor het cluster veiliger wordt.

Beheerders hebben volledige toegang tot beheermogelijkheden (inclusief lees-/schrijfmogelijkheden). Standaard hebben gebruikers alleen leestoegang tot beheermogelijkheden (bijvoorbeeld querymogelijkheden) en de mogelijkheid om toepassingen en services op te lossen.

U geeft de twee clientrollen op (beheerder en client) op het moment dat het cluster wordt gemaakt door afzonderlijke certificaten voor elk op te geven. Zie Service Fabric-clusterbeveiliging voor meer informatie over het instellen van een beveiligd Service Fabric-cluster.

Standaardinstellingen voor toegangsbeheer

Het type beheerderstoegangsbeheer heeft volledige toegang tot alle FabricClient-API's. Het kan alle lees- en schrijfbewerkingen uitvoeren op het Service Fabric-cluster, inclusief de volgende bewerkingen:

Toepassings- en servicebewerkingen

  • CreateService: service maken
  • CreateServiceFromTemplate: service maken op basis van sjabloon
  • UpdateService: service-updates
  • DeleteService: serviceverwijdering
  • ProvisionApplicationType: inrichting van toepassingstype
  • CreateApplication: toepassing maken
  • DeleteApplication: toepassing verwijderen
  • UpgradeApplication: toepassingsupgrades starten of onderbreken
  • UnprovisionApplicationType: toepassingstype ongedaan maken van inrichting
  • MoveNextUpgradeDomain: toepassingsupgrades hervatten met een expliciet updatedomein
  • ReportUpgradeHealth: toepassingsupgrades hervatten met de huidige upgradevoortgang
  • ReportHealth: rapportagestatus
  • PredeployPackageToNode: predeployment-API
  • CodePackageControl: codepakketten opnieuw starten
  • RecoverPartition: een partitie herstellen
  • RecoverPartitions: partities herstellen
  • RecoverServicePartitions: servicepartities herstellen
  • RecoverSystemPartitions: systeemservicepartities herstellen

Clusterbewerkingen

  • ProvisionFabric: MSI- en/of clustermanifestinrichting
  • UpgradeFabric: clusterupgrades starten
  • UnprovisionFabric: inrichting van MSI- en/of clustermanifest ongedaan maken
  • MoveNextFabricUpgradeDomain: clusterupgrade hervatten met een expliciet updatedomein
  • ReportFabricUpgradeHealth: clusterupgrades hervatten met de voortgang van de huidige upgrade
  • StartInfrastructureTask: infrastructuurtaken starten
  • FinishInfrastructureTask: infrastructuurtaken voltooien
  • InvokeInfrastructureCommand: opdrachten voor infrastructuurtaakbeheer
  • ActivateNode: een knooppunt activeren
  • DeactivateNode: een knooppunt deactiveren
  • DeactivateNodesBatch: meerdere knooppunten deactiveren
  • RemoveNodeDeactivations: deactivering op meerdere knooppunten ongedaan maken
  • GetNodeDeactivationStatus: de deactiveringsstatus controleren
  • NodeStateRemoved: rapportagestatus van knooppunt verwijderd
  • ReportFault: fout rapporteren
  • FileContent: clientbestandsoverdracht van afbeeldingsarchief (extern naar cluster)
  • BestandDownloaden: clientbestand downloaden van installatiekopiearchief (extern naar cluster)
  • InternalList: clientbestandslijstbewerking voor installatiekopieënarchief (intern)
  • Verwijderen: bewerking voor het verwijderen van de installatiekopieënopslagclient
  • Uploaden: clientuploadbewerking voor afbeeldingsarchief
  • NodeControl: knooppunten starten, stoppen en opnieuw starten
  • MoveReplicaControl: replica's van het ene knooppunt naar het andere verplaatsen

Diverse bewerkingen

  • Ping: client-pings
  • Query: alle query's zijn toegestaan
  • NameExists: URI-aanwezigheidscontroles naam geven

Het type gebruikerstoegangsbeheer is standaard beperkt tot de volgende bewerkingen:

  • EnumerateSubnames: opsomming van naamgevings-URI
  • EnumerateProperties: opsomming van naameigenschappen
  • PropertyReadBatch: naamgevingsbewerkingen voor eigenschap lezen
  • GetServiceDescription: servicemeldingen voor lange polls en servicebeschrijvingen lezen
  • ResolveService: oplossing van op klachten gebaseerde service
  • ResolveNameOwner: naamgevings-URI-eigenaar oplossen
  • ResolvePartition: systeemservices oplossen
  • ServiceNotifications: op gebeurtenissen gebaseerde servicemeldingen
  • GetUpgradeStatus: upgradestatus van polling-toepassing
  • GetFabricUpgradeStatus: upgradestatus van pollingcluster
  • InvokeInfrastructureQuery: query's uitvoeren op infrastructuurtaken
  • Lijst: bewerking van de clientbestandslijst van het installatiekopieënarchief
  • ResetPartitionLoad: de belasting van een failover-eenheid opnieuw instellen
  • ToggleVerboseServicePlacementHealthReporting: uitgebreide statusrapportage voor serviceplaatsing in-/uitschakelen

Het beheerderstoegangsbeheer heeft ook toegang tot de voorgaande bewerkingen.

Standaardinstellingen voor clientrollen wijzigen

In het clustermanifestbestand kunt u indien nodig beheermogelijkheden aan de client bieden. U kunt de standaardinstellingen wijzigen door tijdens het maken van het cluster naar de optie Infrastructuurinstellingen te gaan en de voorgaande instellingen op te geven in de velden naam, beheerder, gebruiker en waarde.

Volgende stappen

Service Fabric-clusterbeveiliging

Service Fabric-cluster maken