Řízení přístupu na základě role pro klienty Service Fabric
Azure Service Fabric podporuje dva různé typy řízení přístupu pro klienty připojené ke clusteru Service Fabric: správce a uživatel. Řízení přístupu umožňuje správci clusteru omezit přístup k určitým operacím clusteru pro různé skupiny uživatelů, aby byl cluster lépe zabezpečený.
Správci mají úplný přístup k možnostem správy (včetně funkcí pro čtení a zápis). Ve výchozím nastavení mají uživatelé přístup jen pro čtení k možnostem správy (například k dotazování) a k řešení problémů s aplikacemi a službami.
Při vytváření clusteru určíte dvě role klienta (správce a klient) tak, že pro každou z nich poskytnete samostatné certifikáty. Podrobnosti o nastavení zabezpečeného clusteru Service Fabric najdete v tématu Zabezpečení clusteru Service Fabric.
Výchozí nastavení řízení přístupu
Typ řízení přístupu správce má úplný přístup ke všem rozhraním API FabricClient. V clusteru Service Fabric může provádět všechna čtení a zápisy, včetně následujících operací:
Operace aplikací a služeb
- CreateService: vytvoření služby
- CreateServiceFromTemplate: vytvoření služby ze šablony
- UpdateService: aktualizace služby
- DeleteService: odstranění služby
- ProvisionApplicationType: zřizování typu aplikace
- CreateApplication: vytvoření aplikace
- DeleteApplication: odstranění aplikace
- UpgradeApplication: spuštění nebo přerušení upgradů aplikací
- UnprovisionApplicationType: zrušení zřizování typu aplikace
- MoveNextUpgradeDomain: Obnovení upgradů aplikací s explicitní aktualizační doménou
- ReportUpgradeHealth: Obnovení upgradů aplikací s aktuálním průběhem upgradu
- ReportHealth: Reporting Health
- PredeployPackageToNode: rozhraní API před nasazením
- CodePackageControl: restartování balíčků kódu
- RecoverPartition: Obnovení oddílu
- RecoverPartitions: Obnovení oddílů
- RecoverServicePartitions: Obnovení oddílů služby
- RecoverSystemPartitions: Obnovení oddílů systémové služby
Operace clusteru
- ProvisionFabric: Zřizování manifestu clusteru nebo MSI
- UpgradeFabric: Spuštění upgradů clusteru
- Zrušení zřizováníFabric: Zrušení zřízení manifestu msi nebo clusteru
- MoveNextFabricUpgradeDomain: Obnovení upgradů clusteru s explicitní aktualizační doménou
- ReportFabricUpgradeHealth: Obnovení upgradů clusteru s aktuálním průběhem upgradu
- StartInfrastructureTask: spouštění úloh infrastruktury
- FinishInfrastructureTask: Dokončení úkolů infrastruktury
- InvokeInfrastructureCommand: příkazy pro správu úloh infrastruktury
- ActivateNode: Aktivace uzlu
- DeactivateNode: deaktivace uzlu
- DeactivateNodesBatch: deaktivace více uzlů
- RemoveNodeDeactivations: Vrácení deaktivace na více uzlech
- GetNodeDeactivationStatus: kontrola stavu deaktivace
- NodeStateRemoved: Odebrání stavu uzlu generování sestav
- ReportFault: hlášení chyby
- FileContent: přenos souborů klienta úložiště imagí (externí pro cluster)
- FileDownload: Inicializace stahování klientského souboru úložiště imagí (externí pro cluster)
- InternalList: Operace se seznamem klientských souborů ukládání imagí (interní)
- Odstranění: operace odstranění klienta úložiště imagí
- Upload: image store client upload operation
- NodeControl: spouštění, zastavování a restartování uzlů
- MoveReplicaControl: přesun replik z jednoho uzlu do druhého
Různé operace
- Ping: klientské příkazy ping
- Dotaz: Všechny dotazy jsou povolené.
- NameExists: Kontroly existence pojmenování identifikátoru URI
Typ řízení přístupu uživatele je ve výchozím nastavení omezený na následující operace:
- EnumerateSubnames: Výčet názvů URI
- EnumerateProperties: výčet vlastností pojmenování
- PropertyReadBatch: operace čtení vlastností pojmenování
- GetServiceDescription: oznámení služby s dlouhým dotazem a čtení popisů služby
- ResolveService: Řešení služeb na základě stížností
- ResolveNameOwner: Překlad vlastníka URI pro pojmenování
- ResolvePartition: Překlad systémových služeb
- ServiceNotifications: Oznámení služby na základě událostí
- GetUpgradeStatus: dotazování stavu upgradu aplikace
- GetFabricUpgradeStatus: dotazování stavu upgradu clusteru
- InvokeInfrastructureQuery: dotazování úloh infrastruktury
- Seznam: Operace výpisu klientských souborů úložiště imagí
- ResetPartitionLoad: Resetování zatížení pro jednotku převzetí služeb při selhání
- ToggleVerboseServicePlacementHealthReporting: Přepínání podrobných sestav stavu umístění služby
Řízení přístupu správce má také přístup k předchozím operacím.
Změna výchozího nastavení pro role klienta
V souboru manifestu clusteru můžete v případě potřeby klientovi poskytnout možnosti správy. Výchozí nastavení můžete změnit tak, že při vytváření clusteru přejdete na možnost Nastavení prostředků infrastruktury a zadáte předchozí nastavení do polí jméno, správce, uživatel a hodnota.
Další kroky
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro