Delen via

Op rollen gebaseerd toegangsbeheer voor Service Fabric-clients

  • Artikel

Azure Service Fabric ondersteunt twee verschillende typen toegangsbeheer voor clients die zijn verbonden met een Service Fabric-cluster: beheerder en gebruiker. Met toegangsbeheer kan de clusterbeheerder de toegang tot bepaalde clusterbewerkingen voor verschillende groepen gebruikers beperken, waardoor het cluster veiliger wordt.

Beheerders hebben volledige toegang tot beheermogelijkheden (inclusief lees-/schrijfmogelijkheden). Standaard hebben gebruikers alleen leestoegang tot beheermogelijkheden (bijvoorbeeld querymogelijkheden) en de mogelijkheid om toepassingen en services op te lossen.

U geeft de twee clientrollen (beheerder en client) op het moment van het maken van het cluster op door afzonderlijke certificaten voor elk op te geven. Zie Service Fabric-clusterbeveiliging voor meer informatie over het instellen van een beveiligd Service Fabric-cluster.

Standaardinstellingen voor toegangsbeheer

Het toegangsbeheertype van de beheerder heeft volledige toegang tot alle FabricClient-API's. Er kunnen lees- en schrijfbewerkingen worden uitgevoerd op het Service Fabric-cluster, met inbegrip van de volgende bewerkingen:

Toepassings- en servicebewerkingen

  • CreateService: service maken
  • CreateServiceFromTemplate: service maken vanuit sjabloon
  • UpdateService: service-updates
  • DeleteService: serviceverwijdering
  • ProvisionApplicationType: inrichting van toepassingstype
  • CreateApplication: toepassing maken
  • DeleteApplication: toepassingsverwijdering
  • UpgradeApplication: toepassingsupgrades starten of onderbreken
  • UnprovisionApplicationType: ongedaan maken van inrichting van toepassingstype
  • MoveNextUpgradeDomain: toepassingsupgrades hervatten met een expliciet updatedomein
  • ReportUpgradeHealth: toepassingsupgrades hervatten met de huidige voortgang van de upgrade
  • ReportHealth: rapportagestatus
  • PredeployPackageToNode: predeployment-API
  • CodePackageControl: codepakketten opnieuw starten
  • RecoverPartition: een partitie herstellen
  • RecoverPartitions: partities herstellen
  • RecoverServicePartitions: servicepartities herstellen
  • RecoverSystemPartitions: systeemservicepartities herstellen

Clusterbewerkingen

  • ProvisionFabric: MSI- en/of clustermanifestinrichting
  • UpgradeFabric: clusterupgrades starten
  • Inrichting ongedaan makenFabric: MSI- en/of clustermanifest ongedaan maken
  • MoveNextFabricUpgradeDomain: clusterupgrades hervatten met een expliciet updatedomein
  • ReportFabricUpgradeHealth: clusterupgrades hervatten met de huidige upgradevoortgang
  • StartInfrastructureTask: infrastructuurtaken starten
  • FinishInfrastructureTask: infrastructuurtaken voltooien
  • InvokeInfrastructureCommand: opdrachten voor infrastructuurtaakbeheer
  • ActivateNode: een knooppunt activeren
  • DeactivateNode: een knooppunt deactiveren
  • DeactivateNodesBatch: meerdere knooppunten deactiveren
  • RemoveNodeDeactivations: deactivering op meerdere knooppunten herstellen
  • GetNodeDeactivationStatus: deactiveringsstatus controleren
  • NodeStateRe verplaatst: status van rapportknooppunt verwijderd
  • ReportFault: fout rapporteren
  • FileContent: overdracht van clientbestanden van installatiekopieën opslaan (extern naar cluster)
  • FileDownload: download van het clientbestand van het installatiekopiearchief (extern naar cluster)
  • InternalList: bewerking van de lijst met clientbestanden van installatiekopieën opslaan (intern)
  • Verwijderen: bewerking voor het verwijderen van de installatiekopieënopslagclient
  • Uploaden: uploadbewerking van afbeeldingsarchiefclient
  • NodeControl: knooppunten starten, stoppen en opnieuw starten
  • MoveReplicaControl: replica's van het ene knooppunt naar het andere verplaatsen

Diverse bewerkingen

  • Ping: client pings
  • Query: alle toegestane query's
  • NameExists: URI-bestaanscontroles benoemen

Het type gebruikerstoegangsbeheer is standaard beperkt tot de volgende bewerkingen:

  • EnumerateSubnames: naamgevings-URI-opsomming
  • EnumerateProperties: opsomming van naamgevingseigenschap
  • PropertyReadBatch: leesbewerkingen voor naamgevingseigenschap
  • GetServiceDescription: servicemeldingen voor lange poll en servicebeschrijvingen lezen
  • ResolveService: serviceoplossing op basis van klachten
  • ResolveNameOwner: naamgevings-URI-eigenaar omzetten
  • ResolvePartition: systeemservices omzetten
  • ServiceNotifications: servicemeldingen op basis van gebeurtenissen
  • GetUpgradeStatus: status van polling-toepassingsupgrade
  • GetFabricUpgradeStatus: status van polling-clusterupgrade
  • InvokeInfrastructureQuery: infrastructuurtaken opvragen
  • Lijst: bewerking voor de lijst met clientbestanden van het installatiekopieënarchief
  • ResetPartitionLoad: het opnieuw instellen van de belasting voor een failover-eenheid
  • ToggleVerboseServicePlacementHealthReporting: uitgebreide statusrapportage voor serviceplaatsing in-/uitschakelen

Het toegangsbeheer voor beheerders heeft ook toegang tot de voorgaande bewerkingen.

Standaardinstellingen voor clientrollen wijzigen

In het manifestbestand van het cluster kunt u indien nodig beheerdersmogelijkheden aan de client bieden. U kunt de standaardinstellingen wijzigen door tijdens het maken van het cluster naar de optie Fabric-instellingen te gaan en de voorgaande instellingen op te geven in de velden naam, beheerder, gebruiker en waarde.

Volgende stappen

Service Fabric-clusterbeveiliging

Service Fabric-cluster maken