Szolgáltatás futtatása csoportosan felügyelt szolgáltatásfiókként

Önálló Windows Server-fürtökön futtathat egy szolgáltatást csoport által felügyelt szolgáltatásfiókként (gMSA) futtató házirend használatával. Alapértelmezés szerint a Service Fabric-alkalmazások azon a fiókon futnak, amelyen a Fabric.exe folyamat fut. Az alkalmazások futtatása különböző fiókokban, még egy megosztott üzemeltetett környezetben is biztonságosabbá teszi őket egymástól. GMSA használatával nincs jelszó vagy titkosított jelszó az alkalmazásjegyzékben. A szolgáltatást Active Directory-felhasználóként vagy -csoportként is futtathatja.

Az alábbi példa bemutatja, hogyan hozhat létre egy svc-Test$ nevű gMSA-fiókot, hogyan helyezheti üzembe a felügyelt szolgáltatásfiókot a fürtcsomópontokon, és hogyan konfigurálhatja a felhasználói fiókot.

Megjegyzés:

Ha a gMSA-t különálló Service Fabric-fürttel használja, a tartományon belül (a Microsoft Entra-azonosító helyett) helyszíni Active Directory szükséges.

Előfeltételek:

• A tartománynak KDS-gyökérkulcsra van szüksége.
• A tartományban legalább egy Windows Server 2012 (vagy R2) tartományvezérlőnek kell lennie.

1. Kérje meg egy Active Directory tartományi rendszergazdát, hogy hozzon létre egy csoport által felügyelt szolgáltatásfiókot a New-ADServiceAccount parancsmag használatával, és győződjön meg arról, hogy az PrincipalsAllowedToRetrieveManagedPassword összes Service Fabric-fürtcsomópontot tartalmazza. AccountName, DnsHostNameés ServicePrincipalName egyedinek kell lennie.

   New-ADServiceAccount -name svc-Test$ -DnsHostName svc-test.contoso.com  -ServicePrincipalNames http/svc-test.contoso.com -PrincipalsAllowedToRetrieveManagedPassword SfNode0$,SfNode1$,SfNode2$,SfNode3$,SfNode4$
   

2. Minden Service Fabric-fürtcsomóponton (például SfNode0$,SfNode1$,SfNode2$,SfNode3$,SfNode4$) telepítse és tesztelje a gMSA-t.

   Add-WindowsFeature RSAT-AD-PowerShell
   Install-AdServiceAccount svc-Test$
   Test-AdServiceAccount svc-Test$
   

3. Konfigurálja a felhasználónevét, és konfigurálja a RunAsPolicy felhasználóra való hivatkozáshoz.

   <?xml version="1.0" encoding="utf-8"?>
   <ApplicationManifest xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" ApplicationTypeName="MyApplicationType" ApplicationTypeVersion="1.0.0" xmlns="http://schemas.microsoft.com/2011/01/fabric">
       <ServiceManifestImport>
         <ServiceManifestRef ServiceManifestName="MyServiceTypePkg" ServiceManifestVersion="1.0.0" />
         <ConfigOverrides />
         <Policies>
             <RunAsPolicy CodePackageRef="Code" UserRef="DomaingMSA"/>
         </Policies>
       </ServiceManifestImport>
     <Principals>
       <Users>
         <User Name="DomaingMSA" AccountType="ManagedServiceAccount" AccountName="domain\svc-Test$"/>
       </Users>
     </Principals>
   </ApplicationManifest>
   

Megjegyzés:

Ha futtatási szabályzatot alkalmaz egy szolgáltatásra, és a szolgáltatásjegyzék http protokollal deklarálja a végponterőforrásokat, meg kell adnia egy SecurityAccessPolicy-t. További információ: Biztonsági hozzáférési szabályzat hozzárendelése HTTP- és HTTPS-végpontokhoz.

A következő cikkek végigvezetik a következő lépéseken:

• Az alkalmazásmodell ismertetése
• Erőforrások meghatározása szolgáltatásjegyzékben
• Alkalmazás üzembe helyezése