Önálló fürt védelme Windows rendszeren a Windows biztonságával
A Service Fabric-fürthöz való jogosulatlan hozzáférés megakadályozása érdekében biztonságossá kell tennie a fürtöt. A biztonság különösen akkor fontos, ha a fürt éles számítási feladatokat futtat. Ez a cikk azt ismerteti, hogyan konfigurálhatja a csomópontok és az ügyfél-csomópontok biztonságát a Windows biztonságának használatával a ClusterConfig.JSON fájlban. A folyamat megfelel a Windowson futó önálló fürt létrehozása biztonsági lépésének. A Service Fabric Windows-biztonság használatával kapcsolatos további információkért tekintse meg a fürt biztonsági forgatókönyveit.
Feljegyzés
Körültekintően kell megfontolnia a csomópontok közötti biztonság kiválasztását, mert nincs fürtfrissítés egyik biztonsági lehetőségről a másikra. A biztonsági kijelölés módosításához újra kell építenie a teljes fürtöt.
A Windows biztonságának konfigurálása a gMSA használatával
A gMSA az előnyben részesített biztonsági modell. A minta ClusterConfig.gMSA.Windows.MultiMachine.JSON a Microsoft.Azure.ServiceFabric.WindowsServer szolgáltatással letöltött konfigurációs fájl.<verzió>.zip önálló fürtcsomag tartalmaz egy sablont a Windows biztonságának a csoportos felügyelt szolgáltatásfiók (gMSA) használatával történő konfigurálásához:
"security": {
"ClusterCredentialType": "Windows",
"ServerCredentialType": "Windows",
"WindowsIdentities": {
"ClustergMSAIdentity": "[gMSA Identity]",
"ClusterSPN": "[Registered SPN for the gMSA account]",
"ClientIdentities": [
{
"Identity": "domain\\username",
"IsAdmin": true
}
]
}
}
| Konfigurációs beállítás | Leírás |
|---|---|
| ClusterCredentialType | Állítsa a Windowsra, hogy engedélyezze a Windows biztonságát a csomópontok közötti kommunikációhoz. |
| ServerCredentialType | Állítsa a Windowsra, hogy engedélyezze a Windows biztonságát az ügyfélcsomópontos kommunikációhoz. |
| WindowsIdentitások | A fürt- és ügyfélidentitásokat tartalmazza. |
| ClustergMSAIdentity | A csomópontok és csomópontok biztonságát konfigurálja. Csoport által felügyelt szolgáltatásfiók. "mysfgmsa@mydomain" formátumúnak kell lennie. |
| ClusterSPN | Regisztrált SPN a gMSA-fiókhoz |
| Ügyfélidentitások | Az ügyfél-csomópontok biztonságát konfigurálja. Ügyfélfelhasználói fiókok tömbje. |
| Identitás | Adja hozzá az ügyfélidentitáshoz tartozó tartományfelhasználót (tartomány\felhasználónév). |
| IsAdmin | Állítsa igaz értékre annak megadására, hogy a tartományi felhasználó rendszergazdai ügyfélhozzáféréssel rendelkezik-e, vagy hamis-e a felhasználói ügyfélhozzáférés. |
A csomópontok közötti biztonság a ClustergMSAIdentitás beállításával van konfigurálva, amikor a service fabricnek a gMSA alatt kell futnia. A csomópontok közötti megbízhatósági kapcsolatok kiépítéséhez tisztában kell lenniük egymással. Ez kétféleképpen valósítható meg: Adja meg a csoport által felügyelt szolgáltatásfiókot, amely a fürt összes csomópontját tartalmazza, vagy adja meg azt a tartományigép-csoportot, amely a fürt összes csomópontját tartalmazza. Határozottan javasoljuk a csoportos felügyelt szolgáltatásfiók (gMSA) megközelítés használatát, különösen a nagyobb fürtök (több mint 10 csomópont) vagy a valószínűleg növekedni vagy zsugorodni kívánó fürtök esetében.
Ez a megközelítés nem igényel olyan tartománycsoport létrehozását, amelyhez a fürtgazdák hozzáférési jogosultságot kaptak a tagok hozzáadásához és eltávolításához. Ezek a fiókok az automatikus jelszókezeléshez is hasznosak. További információ: A csoportosan felügyelt szolgáltatásfiókok használatának első lépései.
Az ügyfél és a csomópont biztonsága a ClientIdentities használatával van konfigurálva. Az ügyfél és a fürt közötti megbízhatóság kialakításához konfigurálnia kell a fürtöt, hogy tudja, mely ügyfélidentitásokban bízhat meg. Ez kétféleképpen végezhető el: Adja meg azokat a tartománycsoport-felhasználókat, amelyek csatlakozhatnak, vagy megadják a csatlakozni képes tartománycsomópont-felhasználókat. A Service Fabric két különböző hozzáférés-vezérlési típust támogat a Service Fabric-fürthöz csatlakoztatott ügyfelek esetében: rendszergazda és felhasználó. A hozzáférés-vezérlés lehetővé teszi, hogy a fürt rendszergazdája bizonyos típusú fürtműveletekhez való hozzáférést korlátozza a különböző felhasználói csoportok számára, így a fürt biztonságosabbá válik. A rendszergazdák teljes hozzáféréssel rendelkeznek a felügyeleti képességekhez (beleértve az olvasási/írási képességeket is). A felhasználók alapértelmezés szerint csak olvasási hozzáféréssel rendelkeznek a felügyeleti képességekhez (például lekérdezési képességekhez), valamint az alkalmazások és szolgáltatások feloldásának képességéhez. A hozzáférés-vezérléssel kapcsolatos további információkért tekintse meg a Service Fabric-ügyfelek szerepköralapú hozzáférés-vezérlését.
Az alábbi biztonsági példaszakasz a Windows biztonságát a gMSA használatával konfigurálja, és megadja, hogy a ServiceFabric.clusterA.contoso.com gMSA-ban lévő gépek a fürt részét képezik, és hogy a CONTOSO\usera rendszergazdai ügyfélhozzáférésekkel rendelkezik:
"security": {
"ClusterCredentialType": "Windows",
"ServerCredentialType": "Windows",
"WindowsIdentities": {
"ClustergMSAIdentity" : "ServiceFabric.clusterA.contoso.com",
"ClusterSPN" : "http/servicefabric/clusterA.contoso.com",
"ClientIdentities": [{
"Identity": "CONTOSO\\usera",
"IsAdmin": true
}]
}
}
Windows-biztonság konfigurálása gépcsoport használatával
A fentiekben leírtaknak megfelelően a gMSA használata javasolt, de a biztonsági modell használata is támogatott. A minta ClusterConfig.Windows.MultiMachine.JSON a Microsoft.Azure.ServiceFabric.WindowsServer szolgáltatással letöltött konfigurációs fájl.<verzió>.zip önálló fürtcsomag tartalmaz egy sablont a Windows biztonságának konfigurálásához. A Windows biztonsága a Tulajdonságok szakaszban van konfigurálva:
"security": {
"ClusterCredentialType": "Windows",
"ServerCredentialType": "Windows",
"WindowsIdentities": {
"ClusterIdentity" : "[domain\machinegroup]",
"ClientIdentities": [{
"Identity": "[domain\username]",
"IsAdmin": true
}]
}
}
| Konfigurációs beállítás | Leírás |
|---|---|
| ClusterCredentialType | Állítsa a Windowsra, hogy engedélyezze a Windows biztonságát a csomópontok közötti kommunikációhoz. |
| ServerCredentialType | Állítsa a Windowsra, hogy engedélyezze a Windows biztonságát az ügyfélcsomópontos kommunikációhoz. |
| WindowsIdentitások | A fürt- és ügyfélidentitásokat tartalmazza. |
| ClusterIdentity | A csomópontok közötti biztonság konfigurálásához használjon egy tartomány\machinegroup nevű gépcsoportot. |
| Ügyfélidentitások | Az ügyfél-csomópontok biztonságát konfigurálja. Ügyfélfelhasználói fiókok tömbje. |
| Identitás | Adja hozzá az ügyfélidentitáshoz tartozó tartományfelhasználót (tartomány\felhasználónév). |
| IsAdmin | Állítsa igaz értékre annak megadására, hogy a tartományi felhasználó rendszergazdai ügyfélhozzáféréssel rendelkezik-e, vagy hamis-e a felhasználói ügyfélhozzáférés. |
A csomópontok csomópontok közötti biztonsága a ClusterIdentity beállításával konfigurálható, ha egy Active Directory-tartomány belüli gépcsoportot szeretne használni. További információ: Gépcsoport létrehozása az Active Directoryban.
Az ügyfél-csomópontok biztonsága ügyfél-azonosítók használatával van konfigurálva. Az ügyfél és a fürt közötti megbízhatóság létrehozásához konfigurálnia kell a fürtöt, hogy megismerje azokat az ügyfélidentitásokat, amelyekben a fürt megbízhat. A megbízhatóság kétféleképpen alakítható ki:
- Adja meg a csatlakozni tudó tartománycsoport-felhasználókat.
- Adja meg a csatlakoztatni kívánt tartományi csomópont felhasználóit.
A Service Fabric két különböző hozzáférés-vezérlési típust támogat a Service Fabric-fürthöz csatlakoztatott ügyfelek esetében: rendszergazda és felhasználó. A hozzáférés-vezérlés lehetővé teszi, hogy a fürt rendszergazdája bizonyos típusú fürtműveletek elérését korlátozza a különböző felhasználói csoportok számára, ami biztonságosabbá teszi a fürtöt. A rendszergazdák teljes hozzáféréssel rendelkeznek a felügyeleti képességekhez (beleértve az olvasási/írási képességeket is). A felhasználók alapértelmezés szerint csak olvasási hozzáféréssel rendelkeznek a felügyeleti képességekhez (például lekérdezési képességekhez), valamint az alkalmazások és szolgáltatások feloldásának képességéhez.
A következő biztonsági példaszakasz konfigurálja a Windows biztonságát, megadja, hogy a ServiceFabric/clusterA.contoso.com gépei a fürt részét képezik, és megadja, hogy a CONTOSO\usera rendszergazdai ügyfélhozzáférésekkel rendelkezik:
"security": {
"ClusterCredentialType": "Windows",
"ServerCredentialType": "Windows",
"WindowsIdentities": {
"ClusterIdentity" : "ServiceFabric/clusterA.contoso.com",
"ClientIdentities": [{
"Identity": "CONTOSO\\usera",
"IsAdmin": true
}]
}
},
Feljegyzés
A Service Fabric nem helyezhető üzembe tartományvezérlőn. Győződjön meg arról, hogy a ClusterConfig.json nem tartalmazza a tartományvezérlő IP-címét gépcsoport vagy csoportos felügyelt szolgáltatásfiók (gMSA) használatakor.
Következő lépések
Miután konfigurálta a Windows biztonságát a ClusterConfig.JSON fájlban, folytassa a fürtlétrehozási folyamatot a Windowson futó önálló fürt létrehozása területen.
A csomópontok közötti biztonságról, az ügyfél-csomópontok közötti biztonságról és a szerepköralapú hozzáférés-vezérlésről további információt a Fürt biztonsági forgatókönyvei című témakörben talál.
A PowerShell vagy a FabricClient használatával történő csatlakozásról további példákat a Biztonságos fürthöz való csatlakozás című témakörben talál.