Partilhar via

Controle de acesso baseado em função para clientes do Service Fabric

  • Artigo

O Azure Service Fabric dá suporte a dois tipos diferentes de controle de acesso para clientes conectados a um cluster do Service Fabric: administrador e usuário. O controle de acesso permite que o administrador do cluster limite o acesso a determinadas operações de cluster para diferentes grupos de usuários, tornando o cluster mais seguro.

Os administradores têm acesso total aos recursos de gerenciamento (incluindo recursos de leitura/gravação). Por padrão, os usuários só têm acesso de leitura aos recursos de gerenciamento (por exemplo, recursos de consulta) e a capacidade de resolver aplicativos e serviços.

Você especifica as duas funções de cliente (administrador e cliente) no momento da criação do cluster fornecendo certificados separados para cada uma. Consulte Segurança de cluster do Service Fabric para obter detalhes sobre como configurar um cluster seguro do Service Fabric.

Configurações padrão de controle de acesso

O tipo de controle de acesso de administrador tem acesso total a todas as APIs FabricClient. Ele pode executar quaisquer leituras e gravações no cluster do Service Fabric, incluindo as seguintes operações:

Operações de aplicação e serviço

  • CreateService: criação de serviços
  • CreateServiceFromTemplate: criação de serviço a partir do modelo
  • UpdateService: atualizações de serviço
  • DeleteService: exclusão de serviço
  • ProvisionApplicationType: provisionamento de tipo de aplicativo
  • CreateApplication: criação de aplicativos
  • DeleteApplication: exclusão de aplicativo
  • UpgradeApplication: iniciando ou interrompendo atualizações de aplicativos
  • UnprovisionApplicationType: desprovisionamento de tipo de aplicativo
  • MoveNextUpgradeDomain: retomando atualizações de aplicativos com um domínio de atualização explícito
  • ReportUpgradeHealth: retomando atualizações de aplicativos com o progresso atual da atualização
  • ReportHealth: notificação de estado de saúde
  • PredeployPackageToNode: API de pré-implantação
  • CodePackageControl: reiniciando pacotes de código
  • RecoverPartition: recuperando uma partição
  • RecoverPartitions: recuperando partições
  • RecoverServicePartitions: recuperando partições de serviço
  • RecoverSystemPartitions: recuperando partições de serviço do sistema

Operações de cluster

  • ProvisionFabric: provisionamento de manifesto MSI e/ou cluster
  • UpgradeFabric: iniciando atualizações de cluster
  • UnprovisionFabric: Desprovisionamento de manifesto MSI e/ou cluster
  • MoveNextFabricUpgradeDomain: retomando atualizações de cluster com um domínio de atualização explícito
  • ReportFabricUpgradeHealth: retomando atualizações de cluster com o progresso atual da atualização
  • StartInfrastructureTask: iniciando tarefas de infraestrutura
  • FinishInfrastructureTask: concluindo tarefas de infraestrutura
  • InvokeInfrastructureCommand: comandos de gerenciamento de tarefas de infraestrutura
  • ActivateNode: ativando um nó
  • DeactivateNode: desativando um nó
  • DeactivateNodesBatch: desativando vários nós
  • RemoveNodeDeactivations: revertendo a desativação em vários nós
  • GetNodeDeactivationStatus: verificando o status de desativação
  • NodeStateRemoved: estado do nó de relatório removido
  • ReportFault: relatando falha
  • FileContent: transferência de arquivos do cliente de armazenamento de imagens (externo ao cluster)
  • FileDownload: início do download do arquivo do cliente de armazenamento de imagens (externo ao cluster)
  • InternalList: operação de lista de arquivos do cliente de armazenamento de imagens (interna)
  • Excluir: operação de exclusão do cliente de armazenamento de imagens
  • Upload: operação de upload do cliente da loja de imagens
  • NodeControl: iniciando, parando e reiniciando nós
  • MoveReplicaControl: movendo réplicas de um nó para outro

Operações diversas

  • Ping: pings de cliente
  • Consulta: todas as consultas permitidas
  • NameExists: nomeando verificações de existência de URI

O tipo de controle de acesso do usuário é, por padrão, limitado às seguintes operações:

  • EnumerateSubnames: nomeando enumeração URI
  • EnumerateProperties: enumeração de propriedade de nomenclatura
  • PropertyReadBatch: nomeando operações de leitura de propriedade
  • GetServiceDescription: notificações de serviço de sondagem longa e descrições de serviço de leitura
  • ResolveService: resolução de serviço baseada em reclamações
  • ResolveNameOwner: resolvendo nomear proprietário de URI
  • ResolvePartition: resolvendo serviços do sistema
  • ServiceNotifications: notificações de serviço baseadas em eventos
  • GetUpgradeStatus: status de atualização do aplicativo de sondagem
  • GetFabricUpgradeStatus: status de atualização do cluster de sondagem
  • InvokeInfrastructureQuery: consultando tarefas de infraestrutura
  • Lista: operação de lista de arquivos do cliente de armazenamento de imagens
  • ResetPartitionLoad: redefinindo a carga para uma unidade de failover
  • ToggleVerboseServicePlacementHealthReporting: alternando relatórios detalhados de integridade de posicionamento de serviço

O controle de acesso de administrador também tem acesso às operações anteriores.

Alterando as configurações padrão para funções de cliente

No arquivo de manifesto do cluster, você pode fornecer recursos de administração ao cliente, se necessário. Você pode alterar os padrões acessando a opção Configurações de malha durante a criação do cluster e fornecendo as configurações anteriores nos campos nome, administrador, usuário e valor.

Próximos passos

Segurança de cluster do Service Fabric

Criação de cluster do Service Fabric