Zabezpečení samostatného clusteru ve Windows pomocí zabezpečení Windows
Pokud chcete zabránit neoprávněnému přístupu ke clusteru Service Fabric, musíte cluster zabezpečit. Zabezpečení je zvlášť důležité, když cluster spouští produkční úlohy. Tento článek popisuje, jak nakonfigurovat zabezpečení node-to-node a client-to-node pomocí zabezpečení systému Windows v souboru ClusterConfig.JSON . Proces odpovídá kroku konfigurace zabezpečení pro vytvoření samostatného clusteru spuštěného ve Windows. Další informace o tom, jak Service Fabric používá zabezpečení Systému Windows, najdete v tématu Scénáře zabezpečení clusteru.
Poznámka:
Výběr zabezpečení mezi uzly byste měli pečlivě zvážit, protože neexistuje žádný upgrade clusteru z jedné volby zabezpečení na jinou. Pokud chcete změnit výběr zabezpečení, musíte znovu sestavit celý cluster.
Konfigurace zabezpečení Windows pomocí gMSA
GMSA je upřednostňovaným modelem zabezpečení. Ukázkový konfigurační soubor ClusterConfig.gMSA.Windows.MultiMachine.JSON stažený pomocí Microsoft.Azure.ServiceFabric.WindowsServer.<verze>.zip samostatný balíček clusteru obsahuje šablonu pro konfiguraci zabezpečení Systému Windows pomocí účtu spravované služby skupiny (gMSA):>
"security": {
"ClusterCredentialType": "Windows",
"ServerCredentialType": "Windows",
"WindowsIdentities": {
"ClustergMSAIdentity": "[gMSA Identity]",
"ClusterSPN": "[Registered SPN for the gMSA account]",
"ClientIdentities": [
{
"Identity": "domain\\username",
"IsAdmin": true
}
]
}
}
| Nastavení konfigurace | Popis |
|---|---|
| ClusterCredentialType | Nastavte na Windows , aby se povolilo zabezpečení Systému Windows pro komunikaci uzlů. |
| ServerCredentialType | Nastavte na Windows , aby se povolilo zabezpečení Systému Windows pro komunikaci mezi klientem a uzlem. |
| WindowsIdentities | Obsahuje cluster a klientské identity. |
| ClustergMSAIdentity | Konfiguruje zabezpečení mezi uzly. Skupinový účet spravované služby. Musí být ve formátu "mysfgmsa@mydomain". |
| ClusterSPN | Zaregistrovaný hlavní název služby (SPN) pro účet gMSA |
| Klientská identita | Konfiguruje zabezpečení mezi klienty a uzly. Pole klientských uživatelských účtů. |
| Identita | Přidejte uživatele domény, doménu\uživatelské jméno pro identitu klienta. |
| IsAdmin | Nastavte hodnotu true a určete, že má uživatel domény přístup klienta správce nebo nepravda pro přístup klienta uživatele. |
Zabezpečení uzlů na uzel se konfiguruje nastavením ClustergMSAIdentity , když service fabric musí běžet v rámci gMSA. Aby bylo možné vytvářet vztahy důvěryhodnosti mezi uzly, musí si být vzájemně vědomy. Toho lze dosáhnout dvěma různými způsoby: Zadejte účet spravované služby skupiny, který zahrnuje všechny uzly v clusteru, nebo zadejte skupinu počítačů domény, která zahrnuje všechny uzly v clusteru. Důrazně doporučujeme použít přístup gMSA (Group Managed Service Account), zejména pro větší clustery (více než 10 uzlů) nebo pro clustery, které se pravděpodobně zvětší nebo zmenší.
Tento přístup nevyžaduje vytvoření skupiny domény, pro kterou mají správci clusteru udělená přístupová práva k přidávání a odebírání členů. Tyto účty jsou také užitečné pro automatickou správu hesel. Další informace najdete v tématu Začínáme se skupinami účtů spravované služby.
Zabezpečení klienta do uzlu se konfiguruje pomocí ClientIdentities. Pokud chcete vytvořit vztah důvěryhodnosti mezi klientem a clusterem, musíte cluster nakonfigurovat tak, aby věděl, které identity klientů můžou důvěřovat. Můžete to provést dvěma různými způsoby: Zadejte uživatele skupiny domén, kteří se můžou připojit, nebo určit uživatele uzlu domény, kteří se můžou připojit. Service Fabric podporuje dva různé typy řízení přístupu pro klienty, kteří jsou připojení ke clusteru Service Fabric: správce a uživatel. Řízení přístupu umožňuje správci clusteru omezit přístup k určitým typům operací clusteru pro různé skupiny uživatelů, aby byl cluster bezpečnější. Správci mají úplný přístup k možnostem správy (včetně možností čtení a zápisu). Ve výchozím nastavení mají uživatelé přístup ke správě jen pro čtení (například možnosti dotazů) a možnost řešit aplikace a služby. Další informace o řízení přístupu najdete v tématu Řízení přístupu na základě role pro klienty Service Fabric.
Následující příklad části zabezpečení konfiguruje zabezpečení Windows pomocí gMSA a určuje, že počítače v ServiceFabric.clusterA.contoso.com gMSA jsou součástí clusteru a že CONTOSO\usera má klientský přístup správce:
"security": {
"ClusterCredentialType": "Windows",
"ServerCredentialType": "Windows",
"WindowsIdentities": {
"ClustergMSAIdentity" : "ServiceFabric.clusterA.contoso.com",
"ClusterSPN" : "http/servicefabric/clusterA.contoso.com",
"ClientIdentities": [{
"Identity": "CONTOSO\\usera",
"IsAdmin": true
}]
}
}
Konfigurace zabezpečení Windows pomocí skupiny počítačů
Jak je uvedeno výše, preferuje se gMSA, ale podporuje se také použití tohoto modelu zabezpečení. Ukázkový konfigurační soubor ClusterConfig.Windows.MultiMachine.JSON stažený pomocí Microsoft.Azure.ServiceFabric.WindowsServer.<verze>.zip samostatný balíček clusteru obsahuje šablonu pro konfiguraci zabezpečení Systému Windows. Zabezpečení Systému Windows je nakonfigurováno v části Vlastnosti :
"security": {
"ClusterCredentialType": "Windows",
"ServerCredentialType": "Windows",
"WindowsIdentities": {
"ClusterIdentity" : "[domain\machinegroup]",
"ClientIdentities": [{
"Identity": "[domain\username]",
"IsAdmin": true
}]
}
}
| Nastavení konfigurace | Popis |
|---|---|
| ClusterCredentialType | Nastavte na Windows , aby se povolilo zabezpečení Systému Windows pro komunikaci uzlů. |
| ServerCredentialType | Nastavte na Windows , aby se povolilo zabezpečení Systému Windows pro komunikaci mezi klientem a uzlem. |
| WindowsIdentities | Obsahuje cluster a klientské identity. |
| ClusterIdentity | Ke konfiguraci zabezpečení mezi uzly použijte název skupiny počítačů, doména\machinegroup. |
| Klientská identita | Konfiguruje zabezpečení mezi klienty a uzly. Pole klientských uživatelských účtů. |
| Identita | Přidejte uživatele domény, doménu\uživatelské jméno pro identitu klienta. |
| IsAdmin | Nastavte hodnotu true a určete, že má uživatel domény přístup klienta správce nebo nepravda pro přístup klienta uživatele. |
Pokud chcete v rámci Doména služby Active Directory použít skupinu počítačů, nakonfiguruje se zabezpečení uzlu na uzel pomocí ClusterIdentity. Další informace naleznete v tématu Vytvoření skupiny počítačů ve službě Active Directory.
Zabezpečení mezi klienty je nakonfigurováno pomocí ClientIdentities. Pokud chcete vytvořit vztah důvěryhodnosti mezi klientem a clusterem, musíte cluster nakonfigurovat tak, aby znal identity klienta, kterým může cluster důvěřovat. Vztah důvěryhodnosti můžete vytvořit dvěma různými způsoby:
- Zadejte uživatele skupiny domén, které se můžou připojit.
- Zadejte uživatele uzlu domény, kteří se můžou připojit.
Service Fabric podporuje dva různé typy řízení přístupu pro klienty, kteří jsou připojení ke clusteru Service Fabric: správce a uživatel. Řízení přístupu umožňuje správci clusteru omezit přístup k určitým typům operací clusteru pro různé skupiny uživatelů, což zvyšuje zabezpečení clusteru. Správci mají úplný přístup k možnostem správy (včetně možností čtení a zápisu). Ve výchozím nastavení mají uživatelé přístup ke správě jen pro čtení (například možnosti dotazů) a možnost řešit aplikace a služby.
Následující příklad oddíl zabezpečení konfiguruje zabezpečení Systému Windows, určuje, že počítače v ServiceFabric/clusterA.contoso.com jsou součástí clusteru, a určuje, že CONTOSO\usera má klientský přístup správce:
"security": {
"ClusterCredentialType": "Windows",
"ServerCredentialType": "Windows",
"WindowsIdentities": {
"ClusterIdentity" : "ServiceFabric/clusterA.contoso.com",
"ClientIdentities": [{
"Identity": "CONTOSO\\usera",
"IsAdmin": true
}]
}
},
Poznámka:
Service Fabric by se nemělo nasazovat na řadič domény. Ujistěte se, že ClusterConfig.json neobsahuje IP adresu řadiče domény při použití skupiny počítačů nebo skupiny účtu spravované služby (gMSA).
Další kroky
Po konfiguraci zabezpečení Systému Windows v souboru ClusterConfig.JSON obnovte proces vytváření clusteru v části Vytvoření samostatného clusteru spuštěného ve Windows.
Další informace o zabezpečení uzlů mezi uzly, zabezpečení mezi klientem a uzlem a řízení přístupu na základě role najdete v tématu Scénáře zabezpečení clusteru.
Příklady připojení pomocí PowerShellu nebo FabricClient najdete v tématu Připojení k zabezpečenému clusteru .