Szolgáltatás futtatása csoportosan felügyelt szolgáltatásfiókként
Önálló Windows Server-fürtökön futtathat egy szolgáltatást csoport által felügyelt szolgáltatásfiókként (gMSA) futtató házirend használatával. Alapértelmezés szerint a Service Fabric-alkalmazások azon a fiókon futnak, amelyen a Fabric.exe
folyamat fut. Az alkalmazások futtatása különböző fiókokban, még egy megosztott üzemeltetett környezetben is biztonságosabbá teszi őket egymástól. GMSA használatával nincs jelszó vagy titkosított jelszó az alkalmazásjegyzékben. A szolgáltatást Active Directory-felhasználóként vagy -csoportként is futtathatja.
Az alábbi példa bemutatja, hogyan hozhat létre egy svc-Test$ nevű gMSA-fiókot, hogyan helyezheti üzembe a felügyelt szolgáltatásfiókot a fürtcsomópontokon, és hogyan konfigurálhatja a felhasználói fiókot.
Megjegyzés:
Ha a gMSA-t különálló Service Fabric-fürttel használja, a tartományon belül (a Microsoft Entra-azonosító helyett) helyszíni Active Directory szükséges.
Előfeltételek:
- A tartománynak KDS-gyökérkulcsra van szüksége.
- A tartományban legalább egy Windows Server 2012 (vagy R2) tartományvezérlőnek kell lennie.
Kérje meg egy Active Directory tartományi rendszergazdát, hogy hozzon létre egy csoport által felügyelt szolgáltatásfiókot a
New-ADServiceAccount
parancsmag használatával, és győződjön meg arról, hogy azPrincipalsAllowedToRetrieveManagedPassword
összes Service Fabric-fürtcsomópontot tartalmazza.AccountName
,DnsHostName
ésServicePrincipalName
egyedinek kell lennie.New-ADServiceAccount -name svc-Test$ -DnsHostName svc-test.contoso.com -ServicePrincipalNames http/svc-test.contoso.com -PrincipalsAllowedToRetrieveManagedPassword SfNode0$,SfNode1$,SfNode2$,SfNode3$,SfNode4$
Minden Service Fabric-fürtcsomóponton (például
SfNode0$,SfNode1$,SfNode2$,SfNode3$,SfNode4$
) telepítse és tesztelje a gMSA-t.Add-WindowsFeature RSAT-AD-PowerShell Install-AdServiceAccount svc-Test$ Test-AdServiceAccount svc-Test$
Konfigurálja a felhasználónevét, és konfigurálja a
RunAsPolicy
felhasználóra való hivatkozáshoz.<?xml version="1.0" encoding="utf-8"?> <ApplicationManifest xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" ApplicationTypeName="MyApplicationType" ApplicationTypeVersion="1.0.0" xmlns="http://schemas.microsoft.com/2011/01/fabric"> <ServiceManifestImport> <ServiceManifestRef ServiceManifestName="MyServiceTypePkg" ServiceManifestVersion="1.0.0" /> <ConfigOverrides /> <Policies> <RunAsPolicy CodePackageRef="Code" UserRef="DomaingMSA"/> </Policies> </ServiceManifestImport> <Principals> <Users> <User Name="DomaingMSA" AccountType="ManagedServiceAccount" AccountName="domain\svc-Test$"/> </Users> </Principals> </ApplicationManifest>
Megjegyzés:
Ha futtatási szabályzatot alkalmaz egy szolgáltatásra, és a szolgáltatásjegyzék http protokollal deklarálja a végponterőforrásokat, meg kell adnia egy SecurityAccessPolicy-t. További információ: Biztonsági hozzáférési szabályzat hozzárendelése HTTP- és HTTPS-végpontokhoz.
A következő cikkek végigvezetik a következő lépéseken:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: