Sdílet prostřednictvím

Řízení přístupu na základě role pro klienty Service Fabric

  • Článek

Azure Service Fabric podporuje dva různé typy řízení přístupu pro klienty, kteří jsou připojení ke clusteru Service Fabric: správce a uživatel. Řízení přístupu umožňuje správci clusteru omezit přístup k určitým operacím clusteru pro různé skupiny uživatelů, aby byl cluster bezpečnější.

Správci mají úplný přístup k možnostem správy (včetně možností čtení a zápisu). Ve výchozím nastavení mají uživatelé přístup jen pro čtení ke schopnostem správy (například možnosti dotazů) a možnost řešit aplikace a služby.

V době vytváření clusteru zadáte dvě role klienta (správce a klient), a to tak, že pro každý z nich zadáte samostatné certifikáty. Podrobnosti o nastavení zabezpečeného clusteru Service Fabric najdete v tématu Zabezpečení clusteru Service Fabric.

Výchozí nastavení řízení přístupu

Typ řízení přístupu správce má úplný přístup ke všem rozhraním API FabricClient. Může provádět jakékoli čtení a zápisy v clusteru Service Fabric, včetně následujících operací:

Operace aplikací a služeb

  • CreateService: Vytvoření služby
  • CreateServiceFromTemplate: Vytvoření služby ze šablony
  • UpdateService: Aktualizace služeb
  • DeleteService: Odstranění služby
  • ProvisionApplicationType: Zřizování typu aplikace
  • CreateApplication: Vytvoření aplikace
  • DeleteApplication: Odstranění aplikace
  • UpgradeApplication: Spuštění nebo přerušení upgradů aplikací
  • UnprovisionApplicationType: Typ aplikace se nespotřebovává
  • MoveNextUpgradeDomain: Obnovení upgradů aplikací s explicitní aktualizační doménou
  • ReportUpgradeHealth: Obnovení upgradů aplikací s aktuálním průběhem upgradu
  • ReportHealth: Hlášení stavu
  • PredeployPackageToNode: predeployment API
  • CodePackageControl: Restartování balíčků kódu
  • RecoverPartition: Obnovení oddílu
  • RecoverPartitions: Obnovení oddílů
  • RecoverServicePartitions: Obnovení oddílů služby
  • RecoverSystemPartitions: Obnovení oddílů systémové služby

Operace clusteru

  • ProvisionFabric: Zřizování manifestu MSI nebo clusteru
  • UpgradeFabric: Spuštění upgradů clusteru
  • UnprovisionFabric: Zrušení zřízení manifestu MSI nebo clusteru
  • MoveNextFabricUpgradeDomain: Obnovení upgradů clusteru s explicitní aktualizační doménou
  • ReportFabricUpgradeHealth: Obnovení upgradů clusteru s aktuálním průběhem upgradu
  • StartInfrastructureTask: Spouštění úloh infrastruktury
  • FinishInfrastructureTask: Dokončení úloh infrastruktury
  • InvokeInfrastructureCommand: příkazy pro správu úloh infrastruktury
  • ActivateNode: Aktivace uzlu
  • DeactivateNode: Deaktivace uzlu
  • DeactivateNodesBatch: deaktivace více uzlů
  • RemoveNodeDeactivations: Vrácení deaktivace na více uzlech
  • GetNodeDeactivationStatus: Kontrola stavu deaktivace
  • NodeStateRemoved: Odebraný stav uzlu generování sestav
  • SestavaFault: Hlášení chyby
  • FileContent: Přenos klientských souborů úložiště imagí (externí do clusteru)
  • FileDownload: inicializace stahování klientského souboru úložiště imagí (externí cluster)
  • InternalList: Operace seznamu klientských souborů úložiště imagí (interní)
  • Odstranění: Operace odstranění klienta úložiště imagí
  • Nahrání: operace nahrávání klienta úložiště imagí
  • NodeControl: spuštění, zastavení a restartování uzlů
  • MoveReplicaControl: Přesun replik z jednoho uzlu do druhého

Různé operace

  • Ping: Klientské příkazy ping
  • Dotaz: Všechny povolené dotazy
  • NameExists: Pojmenování kontrol existence identifikátoru URI

Typ řízení přístupu uživatele je ve výchozím nastavení omezen na následující operace:

  • Výčetsubnames: Pojmenování výčtu identifikátoru URI
  • Výčetproperties: výčet vlastností pojmenování
  • PropertyReadBatch: Operace čtení vlastnosti pojmenování
  • GetServiceDescription: oznámení služby s dlouhým dotazem a popisy služby čtení
  • ResolveService: Řešení potíží na základě stížností
  • ResolveNameOwner: Překlad vlastníka URI pojmenování
  • ResolvePartition: Překlad systémových služeb
  • ServiceNotifications: Oznámení služby založené na událostech
  • GetUpgradeStatus: dotazování stavu upgradu aplikace
  • GetFabricUpgradeStatus: dotazování stavu upgradu clusteru
  • InvokeInfrastructureQuery: Dotazování úloh infrastruktury
  • Seznam: Operace ukládání souborů klienta úložiště imagí
  • ResetPartitionLoad: Resetování zatížení pro jednotku převzetí služeb při selhání
  • ToggleVerboseServicePlacementHealthReporting: Přepnutí podrobného hlášení stavu umístění služby

Řízení přístupu správce má také přístup k předchozím operacím.

Změna výchozího nastavení pro role klienta

V souboru manifestu clusteru můžete klientovi v případě potřeby poskytnout možnosti správce. Výchozí nastavení můžete změnit tak, že při vytváření clusteru přejdete na možnost Nastavení prostředků infrastruktury a zadáte předchozí nastavení v polích jméno, správce, uživatel a hodnota.

Další kroky

Zabezpečení clusteru Service Fabric

Vytvoření clusteru Service Fabric