Op rollen gebaseerd toegangsbeheer voor Service Fabric-clients
Azure Service Fabric ondersteunt twee verschillende typen toegangsbeheer voor clients die zijn verbonden met een Service Fabric-cluster: beheerder en gebruiker. Met toegangsbeheer kan de clusterbeheerder de toegang tot bepaalde clusterbewerkingen voor verschillende groepen gebruikers beperken, waardoor het cluster veiliger wordt.
Beheerders hebben volledige toegang tot beheermogelijkheden (inclusief lees-/schrijfmogelijkheden). Standaard hebben gebruikers alleen leestoegang tot beheermogelijkheden (bijvoorbeeld querymogelijkheden) en de mogelijkheid om toepassingen en services op te lossen.
U geeft de twee clientrollen op (beheerder en client) op het moment dat het cluster wordt gemaakt door afzonderlijke certificaten voor elk op te geven. Zie Service Fabric-clusterbeveiliging voor meer informatie over het instellen van een beveiligd Service Fabric-cluster.
Standaardinstellingen voor toegangsbeheer
Het type beheerderstoegangsbeheer heeft volledige toegang tot alle FabricClient-API's. Het kan alle lees- en schrijfbewerkingen uitvoeren op het Service Fabric-cluster, inclusief de volgende bewerkingen:
Toepassings- en servicebewerkingen
- CreateService: service maken
- CreateServiceFromTemplate: service maken op basis van sjabloon
- UpdateService: service-updates
- DeleteService: serviceverwijdering
- ProvisionApplicationType: inrichting van toepassingstype
- CreateApplication: toepassing maken
- DeleteApplication: toepassing verwijderen
- UpgradeApplication: toepassingsupgrades starten of onderbreken
- UnprovisionApplicationType: toepassingstype ongedaan maken van inrichting
- MoveNextUpgradeDomain: toepassingsupgrades hervatten met een expliciet updatedomein
- ReportUpgradeHealth: toepassingsupgrades hervatten met de huidige upgradevoortgang
- ReportHealth: rapportagestatus
- PredeployPackageToNode: predeployment-API
- CodePackageControl: codepakketten opnieuw starten
- RecoverPartition: een partitie herstellen
- RecoverPartitions: partities herstellen
- RecoverServicePartitions: servicepartities herstellen
- RecoverSystemPartitions: systeemservicepartities herstellen
Clusterbewerkingen
- ProvisionFabric: MSI- en/of clustermanifestinrichting
- UpgradeFabric: clusterupgrades starten
- UnprovisionFabric: inrichting van MSI- en/of clustermanifest ongedaan maken
- MoveNextFabricUpgradeDomain: clusterupgrade hervatten met een expliciet updatedomein
- ReportFabricUpgradeHealth: clusterupgrades hervatten met de voortgang van de huidige upgrade
- StartInfrastructureTask: infrastructuurtaken starten
- FinishInfrastructureTask: infrastructuurtaken voltooien
- InvokeInfrastructureCommand: opdrachten voor infrastructuurtaakbeheer
- ActivateNode: een knooppunt activeren
- DeactivateNode: een knooppunt deactiveren
- DeactivateNodesBatch: meerdere knooppunten deactiveren
- RemoveNodeDeactivations: deactivering op meerdere knooppunten ongedaan maken
- GetNodeDeactivationStatus: de deactiveringsstatus controleren
- NodeStateRemoved: rapportagestatus van knooppunt verwijderd
- ReportFault: fout rapporteren
- FileContent: clientbestandsoverdracht van afbeeldingsarchief (extern naar cluster)
- BestandDownloaden: clientbestand downloaden van installatiekopiearchief (extern naar cluster)
- InternalList: clientbestandslijstbewerking voor installatiekopieënarchief (intern)
- Verwijderen: bewerking voor het verwijderen van de installatiekopieënopslagclient
- Uploaden: clientuploadbewerking voor afbeeldingsarchief
- NodeControl: knooppunten starten, stoppen en opnieuw starten
- MoveReplicaControl: replica's van het ene knooppunt naar het andere verplaatsen
Diverse bewerkingen
- Ping: client-pings
- Query: alle query's zijn toegestaan
- NameExists: URI-aanwezigheidscontroles naam geven
Het type gebruikerstoegangsbeheer is standaard beperkt tot de volgende bewerkingen:
- EnumerateSubnames: opsomming van naamgevings-URI
- EnumerateProperties: opsomming van naameigenschappen
- PropertyReadBatch: naamgevingsbewerkingen voor eigenschap lezen
- GetServiceDescription: servicemeldingen voor lange polls en servicebeschrijvingen lezen
- ResolveService: oplossing van op klachten gebaseerde service
- ResolveNameOwner: naamgevings-URI-eigenaar oplossen
- ResolvePartition: systeemservices oplossen
- ServiceNotifications: op gebeurtenissen gebaseerde servicemeldingen
- GetUpgradeStatus: upgradestatus van polling-toepassing
- GetFabricUpgradeStatus: upgradestatus van pollingcluster
- InvokeInfrastructureQuery: query's uitvoeren op infrastructuurtaken
- Lijst: bewerking van de clientbestandslijst van het installatiekopieënarchief
- ResetPartitionLoad: de belasting van een failover-eenheid opnieuw instellen
- ToggleVerboseServicePlacementHealthReporting: uitgebreide statusrapportage voor serviceplaatsing in-/uitschakelen
Het beheerderstoegangsbeheer heeft ook toegang tot de voorgaande bewerkingen.
Standaardinstellingen voor clientrollen wijzigen
In het clustermanifestbestand kunt u indien nodig beheermogelijkheden aan de client bieden. U kunt de standaardinstellingen wijzigen door tijdens het maken van het cluster naar de optie Infrastructuurinstellingen te gaan en de voorgaande instellingen op te geven in de velden naam, beheerder, gebruiker en waarde.