Spuštění služby jako skupinový účet spravované služby

V samostatném clusteru s Windows Serverem můžete službu spustit jako účet spravované služby skupiny (gMSA) pomocí zásad Spustit jako . Ve výchozím nastavení běží aplikace Service Fabric pod účtem, pod kterým proces Fabric.exe běží. Spouštění aplikací v různých účtech, a to i ve sdíleném hostovaném prostředí, zajišťuje lepší zabezpečení mezi sebou. Pomocí gMSA neexistuje žádné heslo ani šifrované heslo uložené v manifestu aplikace. Službu můžete spustit také jako uživatele nebo skupinu služby Active Directory.

Následující příklad ukazuje, jak vytvořit účet gMSA svc-Test $, jak nasadit tento účet spravované služby do uzlů clusteru a jak nakonfigurovat objekt zabezpečení uživatele.

Poznámka:

Použití gMSA se samostatným clusterem Service Fabric vyžaduje místní službu Active Directory v rámci vaší domény (místo ID Microsoft Entra).

Požadavky:

• Doména potřebuje kořenový klíč KDS.
• V doméně musí být alespoň jeden řadič domény s Windows Serverem 2012 (nebo R2).

1. Požádejte správce domény služby Active Directory, aby pomocí rutiny New-ADServiceAccount vytvořil účet služby spravované ve skupině a zajistil, že PrincipalsAllowedToRetrieveManagedPassword zahrnuje všechny uzly clusteru Service Fabric. AccountName, DnsHostNamea ServicePrincipalName musí být jedinečné.

   New-ADServiceAccount -name svc-Test$ -DnsHostName svc-test.contoso.com  -ServicePrincipalNames http/svc-test.contoso.com -PrincipalsAllowedToRetrieveManagedPassword SfNode0$,SfNode1$,SfNode2$,SfNode3$,SfNode4$
   

2. Na každém uzlu clusteru Service Fabric (například SfNode0$,SfNode1$,SfNode2$,SfNode3$,SfNode4$) nainstalujte a otestujte gMSA.

   Add-WindowsFeature RSAT-AD-PowerShell
   Install-AdServiceAccount svc-Test$
   Test-AdServiceAccount svc-Test$
   

3. Nakonfigurujte objekt zabezpečení uživatele a nakonfigurujte RunAsPolicy odkaz na uživatele.

   <?xml version="1.0" encoding="utf-8"?>
   <ApplicationManifest xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" ApplicationTypeName="MyApplicationType" ApplicationTypeVersion="1.0.0" xmlns="http://schemas.microsoft.com/2011/01/fabric">
       <ServiceManifestImport>
         <ServiceManifestRef ServiceManifestName="MyServiceTypePkg" ServiceManifestVersion="1.0.0" />
         <ConfigOverrides />
         <Policies>
             <RunAsPolicy CodePackageRef="Code" UserRef="DomaingMSA"/>
         </Policies>
       </ServiceManifestImport>
     <Principals>
       <Users>
         <User Name="DomaingMSA" AccountType="ManagedServiceAccount" AccountName="domain\svc-Test$"/>
       </Users>
     </Principals>
   </ApplicationManifest>
   

Poznámka:

Pokud použijete zásadu Spustit jako pro službu a manifest služby deklaruje prostředky koncového bodu pomocí protokolu HTTP, musíte zadat SecurityAccessPolicy. Další informace najdete v tématu Přiřazení zásad přístupu zabezpečení pro koncové body HTTP a HTTPS.

Následující články vás provedou dalšími kroky:

• Principy aplikačního modelu
• Zadání prostředků v manifestu služby
• Nasazení aplikace