Windows güvenliğini kullanarak Windows'da tek başına kümenin güvenliğini sağlama
Service Fabric kümesine yetkisiz erişimi önlemek için kümenin güvenliğini sağlamanız gerekir. Küme üretim iş yüklerini çalıştırdığında güvenlik özellikle önemlidir. Bu makalede ClusterConfig.JSON dosyasında Windows güvenliği kullanılarak düğümden düğüme ve istemciden düğüme güvenliğin nasıl yapılandırıldığı açıklanır. bu işlem, Windows üzerinde çalışan tek başına küme oluşturma'nın yapılandırma güvenlik adımına karşılık gelir. Service Fabric'in Windows güvenliğini nasıl kullandığı hakkında daha fazla bilgi için bkz. Küme güvenlik senaryoları.
Not
Bir güvenlik seçiminden diğerine küme yükseltmesi olmadığından düğümden düğüme güvenlik seçimini dikkatle dikkate almanız gerekir. Güvenlik seçimini değiştirmek için kümenin tamamını yeniden oluşturmanız gerekir.
gMSA kullanarak Windows güvenliğini yapılandırma
gMSA tercih edilen güvenlik modelidir. Microsoft.Azure.ServiceFabric.WindowsServer ile indirilen örnek ClusterConfig.gMSA.Windows.MultiMachine.JSON yapılandırma dosyası.< sürüm>.zip tek başına küme paketi, Grup Tarafından Yönetilen Hizmet Hesabı (gMSA) kullanarak Windows güvenliğini yapılandırmaya yönelik bir şablon içerir:
"security": {
"ClusterCredentialType": "Windows",
"ServerCredentialType": "Windows",
"WindowsIdentities": {
"ClustergMSAIdentity": "[gMSA Identity]",
"ClusterSPN": "[Registered SPN for the gMSA account]",
"ClientIdentities": [
{
"Identity": "domain\\username",
"IsAdmin": true
}
]
}
}
| Yapılandırma ayarı | Açıklama |
|---|---|
| ClusterCredentialType | Düğüm düğümü iletişimi için Windows güvenliğini etkinleştirmek için Windows olarak ayarlayın. |
| ServerCredentialType | İstemci düğümü iletişimi için Windows güvenliğini etkinleştirmek için Windows olarak ayarlayın. |
| WindowsId varlıkları | Kümeyi ve istemci kimliklerini içerir. |
| ClustergMSAIdentity | Düğümden düğüme güvenliği yapılandırıyor. Grup tarafından yönetilen hizmet hesabı. "mysfgmsa@mydomain" biçiminde olmalıdır. |
| ClusterSPN | gMSA hesabı için kayıtlı SPN |
| ClientIdentities | İstemciden düğüme güvenliği yapılandırılır. İstemci kullanıcı hesapları dizisi. |
| Kimlik | İstemci kimliği için etki alanı kullanıcı adını (etkialanı\kullanıcıadı) ekleyin. |
| IsAdmin | Etki alanı kullanıcısının yönetici istemci erişimine sahip olduğunu belirtmek için true veya kullanıcı istemci erişimi için false olarak ayarlayın. |
Düğümden düğüme güvenlik , service fabric'in gMSA altında çalıştırılması gerektiğinde ClustergMSAIdentity ayarlanarak yapılandırılır. Düğümler arasında güven ilişkileri oluşturmak için bunların birbirlerinden haberdar edilmesi gerekir. Bu iki farklı yolla gerçekleştirilebilir: Kümedeki tüm düğümleri içeren Grup Tarafından Yönetilen Hizmet Hesabını belirtin veya Kümedeki tüm düğümleri içeren etki alanı makine grubunu belirtin. Özellikle daha büyük kümeler (10 düğümden fazla) veya büyüme veya küçülme olasılığı olan kümeler için Grup Tarafından Yönetilen Hizmet Hesabı (gMSA) yaklaşımını kullanmanızı kesinlikle öneririz.
Bu yaklaşım, küme yöneticilerine üye eklemek ve kaldırmak için erişim hakları verilmiş bir etki alanı grubu oluşturulmasını gerektirmez. Bu hesaplar otomatik parola yönetimi için de kullanışlıdır. Daha fazla bilgi için bkz. Grup Tarafından Yönetilen Hizmet Hesaplarını Kullanmaya Başlama.
İstemciden düğüme güvenlikClientId varlıkları kullanılarak yapılandırılır. İstemci ile küme arasında güven oluşturmak için, kümeyi güvenebileceği istemci kimliklerini bilecek şekilde yapılandırmanız gerekir. Bu iki farklı yolla yapılabilir: Bağlanabilecek etki alanı grubu kullanıcılarını belirtin veya bağlanabilecek etki alanı düğümü kullanıcılarını belirtin. Service Fabric, bir Service Fabric kümesine bağlı istemciler için iki farklı erişim denetimi türünü destekler: yönetici ve kullanıcı. Erişim denetimi, küme yöneticisinin farklı kullanıcı grupları için belirli türlerdeki küme işlemlerine erişimi sınırlayarak kümeyi daha güvenli hale getirmesini sağlar. Yöneticiler yönetim özelliklerine (okuma/yazma özellikleri dahil) tam erişime sahiptir. Kullanıcılar varsayılan olarak yalnızca yönetim özelliklerine (örneğin, sorgu özellikleri) okuma erişimine ve uygulama ve hizmetleri çözümleyebilme özelliğine sahiptir. Erişim denetimleri hakkında daha fazla bilgi için bkz. Service Fabric istemcileri için rol tabanlı erişim denetimi.
Aşağıdaki örnek güvenlik bölümü, gMSA kullanarak Windows güvenliğini yapılandırmaktadır ve ServiceFabric.clusterA.contoso.com gMSA'daki makinelerin kümenin bir parçası olduğunu ve CONTOSO\usera'nın yönetici istemci erişimine sahip olduğunu belirtir:
"security": {
"ClusterCredentialType": "Windows",
"ServerCredentialType": "Windows",
"WindowsIdentities": {
"ClustergMSAIdentity" : "ServiceFabric.clusterA.contoso.com",
"ClusterSPN" : "http/servicefabric/clusterA.contoso.com",
"ClientIdentities": [{
"Identity": "CONTOSO\\usera",
"IsAdmin": true
}]
}
}
Makine grubu kullanarak Windows güvenliğini yapılandırma
Yukarıda ayrıntılı olarak açıklandığı gibi gMSA tercih edilir, ancak bu güvenlik modelinin kullanılması da desteklenir. Microsoft.Azure.ServiceFabric.WindowsServer ile indirilen örnek ClusterConfig.Windows.MultiMachine.JSON yapılandırma dosyası.< sürüm>.zip tek başına küme paketi, Windows güvenliğini yapılandırmaya yönelik bir şablon içerir. Windows güvenliği Özellikler bölümünde yapılandırılır:
"security": {
"ClusterCredentialType": "Windows",
"ServerCredentialType": "Windows",
"WindowsIdentities": {
"ClusterIdentity" : "[domain\machinegroup]",
"ClientIdentities": [{
"Identity": "[domain\username]",
"IsAdmin": true
}]
}
}
| Yapılandırma ayarı | Açıklama |
|---|---|
| ClusterCredentialType | Düğüm düğümü iletişimi için Windows güvenliğini etkinleştirmek için Windows olarak ayarlayın. |
| ServerCredentialType | İstemci düğümü iletişimi için Windows güvenliğini etkinleştirmek için Windows olarak ayarlayın. |
| WindowsId varlıkları | Kümeyi ve istemci kimliklerini içerir. |
| ClusterIdentity | Düğümden düğüme güvenliği yapılandırmak için bir makine grubu adı (domain\machinegroup) kullanın. |
| ClientIdentities | İstemciden düğüme güvenliği yapılandırılır. İstemci kullanıcı hesapları dizisi. |
| Kimlik | İstemci kimliği için etki alanı kullanıcı adını (etkialanı\kullanıcıadı) ekleyin. |
| IsAdmin | Etki alanı kullanıcısının yönetici istemci erişimine sahip olduğunu belirtmek için true veya kullanıcı istemci erişimi için false olarak ayarlayın. |
Düğümden düğüme güvenlik, bir Active Directory Etki Alanı içinde bir makine grubu kullanmak istiyorsanız ClusterIdentity kullanılarak yapılandırılır. Daha fazla bilgi için bkz. Active Directory'de Makine Grubu Oluşturma.
İstemciden düğüme güvenlik, ClientId varlıkları kullanılarak yapılandırılır. İstemci ile küme arasında güven oluşturmak için, kümeyi kümenin güvenebileceği istemci kimliklerini bilecek şekilde yapılandırmanız gerekir. Güveni iki farklı yolla oluşturabilirsiniz:
- Bağlanabilecek etki alanı grubu kullanıcılarını belirtin.
- Bağlanabilecek etki alanı düğümü kullanıcılarını belirtin.
Service Fabric, bir Service Fabric kümesine bağlı istemciler için iki farklı erişim denetimi türünü destekler: yönetici ve kullanıcı. Erişim denetimi, küme yöneticisinin farklı kullanıcı grupları için belirli türlerdeki küme işlemlerine erişimi sınırlamasını sağlar ve bu da kümeyi daha güvenli hale getirir. Yöneticiler yönetim özelliklerine (okuma/yazma özellikleri dahil) tam erişime sahiptir. Kullanıcılar varsayılan olarak yalnızca yönetim özelliklerine (örneğin, sorgu özellikleri) okuma erişimine ve uygulama ve hizmetleri çözümleyebilme özelliğine sahiptir.
Aşağıdaki örnek güvenlik bölümü Windows güvenliğini yapılandırmaktadır, ServiceFabric/clusterA.contoso.com içindeki makinelerin kümenin bir parçası olduğunu ve CONTOSO\usera'nın yönetici istemci erişimine sahip olduğunu belirtir:
"security": {
"ClusterCredentialType": "Windows",
"ServerCredentialType": "Windows",
"WindowsIdentities": {
"ClusterIdentity" : "ServiceFabric/clusterA.contoso.com",
"ClientIdentities": [{
"Identity": "CONTOSO\\usera",
"IsAdmin": true
}]
}
},
Not
Service Fabric bir etki alanı denetleyicisine dağıtılmamalıdır. Bir makine grubu veya grup Yönetilen Hizmet Hesabı (gMSA) kullanırken ClusterConfig.json dosyasının etki alanı denetleyicisinin IP adresini içermediğinden emin olun.
Sonraki adımlar
ClusterConfig.JSON dosyasında Windows güvenliğini yapılandırdıktan sonra, Windows'da çalışan tek başına küme oluşturma başlığı altında küme oluşturma işlemini sürdürebilirsiniz.
Düğümden düğüme güvenlik, istemciden düğüme güvenlik ve rol tabanlı erişim denetimi hakkında daha fazla bilgi için bkz. Küme güvenlik senaryoları.
PowerShell veya FabricClient kullanarak bağlanma örnekleri için bkz. Güvenli bir kümeye bağlanma.