Controlo de acesso baseado em funções para clientes do Service Fabric

  • Artigo

O Azure Service Fabric suporta dois tipos de controlo de acesso diferentes para clientes ligados a um cluster do Service Fabric: administrador e utilizador. O controlo de acesso permite ao administrador do cluster limitar o acesso a determinadas operações de cluster para diferentes grupos de utilizadores, tornando o cluster mais seguro.

Os administradores têm acesso total às capacidades de gestão (incluindo capacidades de leitura/escrita). Por predefinição, os utilizadores só têm acesso de leitura às capacidades de gestão (por exemplo, capacidades de consulta) e à capacidade de resolver aplicações e serviços.

Especifique as duas funções de cliente (administrador e cliente) no momento da criação do cluster ao fornecer certificados separados para cada uma. Veja Segurança do cluster do Service Fabric para obter detalhes sobre como configurar um cluster do Service Fabric seguro.

Predefinições de controlo de acesso

O tipo de controlo de acesso de administrador tem acesso total a todas as APIs FabricClient. Pode efetuar leituras e escritas no cluster do Service Fabric, incluindo as seguintes operações:

Operações de aplicações e serviços

  • CreateService: criação do serviço
  • CreateServiceFromTemplate: criação de serviço a partir do modelo
  • UpdateService: atualizações de serviço
  • DeleteService: eliminação do serviço
  • ProvisionApplicationType: aprovisionamento do tipo de aplicação
  • CreateApplication: criação de aplicações
  • DeleteApplication: eliminação de aplicações
  • UpgradeApplication: iniciar ou interromper atualizações de aplicações
  • UnprovisionApplicationType: aprovisionamento do tipo de aplicação
  • MoveNextUpgradeDomain: retomar atualizações de aplicações com um domínio de atualização explícito
  • ReportUpgradeHealth: retomar as atualizações da aplicação com o progresso atual da atualização
  • ReportHealth: estado de funcionamento dos relatórios
  • PredeployPackageToNode: API predeployment
  • CodePackageControl: reiniciar pacotes de código
  • RecoverPartition: recuperar uma partição
  • RecoverPartitions: recuperar partições
  • RecoverServicePartitions: recuperar partições de serviço
  • RecoverSystemPartitions: recuperar partições do serviço de sistema

Operações de cluster

  • ProvisionFabric: Aprovisionamento de manifestos de cluster e/ou MSI
  • UpgradeFabric: iniciar atualizações do cluster
  • UnprovisionFabric: MSI e/ou manifesto de cluster não aprovisionamento
  • MoveNextFabricUpgradeDomain: retomar as atualizações do cluster com um domínio de atualização explícito
  • ReportFabricUpgradeHealth: retomar as atualizações do cluster com o progresso da atualização atual
  • StartInfrastructureTask: iniciar tarefas de infraestrutura
  • FinishInfrastructureTask: concluir tarefas de infraestrutura
  • InvokeInfrastructureCommand: comandos de gestão de tarefas de infraestrutura
  • ActivateNode: ativar um nó
  • DeactivateNode: desativar um nó
  • DeactivateNodesBatch: desativar vários nós
  • RemoveNodeDeactivations: reverter a desativação em vários nós
  • GetNodeDeactivationStatus: verificar o estado de desativação
  • NodeStateRemoved: estado do nó de relatório removido
  • ReportFault: comunicar falhas
  • FileContent: transferência de ficheiros de cliente do arquivo de imagens (externa ao cluster)
  • FileDownload: iniciação de transferência do ficheiro de cliente do arquivo de imagens (externa ao cluster)
  • InternalList: operação de lista de ficheiros de cliente do arquivo de imagens (interna)
  • Eliminar: operação de eliminação do cliente do arquivo de imagens
  • Carregamento: operação de carregamento do cliente do arquivo de imagens
  • NodeControl: iniciar, parar e reiniciar nós
  • MoveReplicaControl: mover réplicas de um nó para outro

Operações diversas

  • Ping: pings de cliente
  • Consulta: todas as consultas permitidas
  • NameExists: nomenclatura de verificações de existência de URI

Por predefinição, o tipo de controlo de acesso do utilizador está limitado às seguintes operações:

  • EnumerateSubnames: nomenclatura da enumeração de URI
  • EnumerateProperties: nomenclatura da enumeração de propriedades
  • PropertyReadBatch: nomenclatura de operações de leitura de propriedades
  • GetServiceDescription: notificações do serviço de consulta longa e descrições do serviço de leitura
  • ResolveService: resolução de serviço baseada em reclamações
  • ResolveNameOwner: resolver a nomenclatura do proprietário do URI
  • ResolvePartition: resolver serviços do sistema
  • ServiceNotifications: notificações de serviço baseadas em eventos
  • GetUpgradeStatus: estado de atualização da aplicação de consulta
  • GetFabricUpgradeStatus: estado de atualização do cluster de consultas
  • InvokeInfrastructureQuery: consultar tarefas de infraestrutura
  • Lista: operação de lista de ficheiros de cliente do arquivo de imagens
  • ResetPartitionLoad: repor a carga para uma unidade de ativação pós-falha
  • ToggleVerboseServicePlacementHealthReporting: toggling verbose service placement health reporting

O controlo de acesso de administrador também tem acesso às operações anteriores.

Alterar as predefinições das funções de cliente

No ficheiro de manifesto do cluster, pode fornecer capacidades de administrador ao cliente, se necessário. Pode alterar as predefinições ao aceder à opção Definições dos Recursos de Infraestrutura durante a criação do cluster e ao fornecer as definições anteriores nos campos nome, administrador, utilizador e valor .

Passos seguintes

Segurança do cluster do Service Fabric

Criação do cluster do Service Fabric