Aracılığıyla paylaş


Windows güvenliğini kullanarak Windows'da tek başına kümenin güvenliğini sağlama

Service Fabric kümesine yetkisiz erişimi önlemek için kümenin güvenliğini sağlamalısınız. Küme üretim iş yüklerini çalıştırdığında güvenlik özellikle önemlidir. Bu makalede, ClusterConfig.JSON dosyasında Windows güvenliği kullanılarak düğümden düğüme ve istemciden düğüme güvenliğin nasıl yapılandırıldığı açıklanır. bu işlem, Windows'da çalışan tek başına küme oluşturma işleminin yapılandırma güvenlik adımına karşılık gelir. Service Fabric'in Windows güvenliğini nasıl kullandığı hakkında daha fazla bilgi için bkz . Küme güvenlik senaryoları.

Not

Bir güvenlik seçiminden diğerine küme yükseltmesi olmadığından düğümden düğüme güvenlik seçimini dikkatli bir şekilde dikkate almanız gerekir. Güvenlik seçimini değiştirmek için kümenin tamamını yeniden oluşturmanız gerekir.

gMSA kullanarak Windows güvenliğini yapılandırma

gMSA tercih edilen güvenlik modelidir. Microsoft.Azure.ServiceFabric.WindowsServer ile indirilen örnek ClusterConfig.gMSA.Windows.MultiMachine.JSON yapılandırma dosyası.<sürüm>.zip tek başına küme paketi, Grup Yönetilen Hizmet Hesabı (gMSA) kullanarak Windows güvenliğini yapılandırmaya yönelik bir şablon içerir:

"security": {
    "ClusterCredentialType": "Windows",
    "ServerCredentialType": "Windows",
    "WindowsIdentities": {  
        "ClustergMSAIdentity": "[gMSA Identity]",
        "ClusterSPN": "[Registered SPN for the gMSA account]",
        "ClientIdentities": [
            {
                "Identity": "domain\\username",
                "IsAdmin": true
            }
        ]
    }
}
Yapılandırma ayarı Açıklama
ClusterCredentialType Düğüm düğüm iletişimi için Windows güvenliğini etkinleştirmek için Windows olarak ayarlayın. 
ServerCredentialType İstemci düğümü iletişimi için Windows güvenliğini etkinleştirmek için Windows olarak ayarlayın.
WindowsId varlıkları Kümeyi ve istemci kimliklerini içerir.
ClustergMSAIdentity Düğümden düğüme güvenliği yapılandırıyor. Grup tarafından yönetilen hizmet hesabı. "mysfgmsa@mydomain" biçiminde olmalıdır.
ClusterSPN gMSA hesabı için kayıtlı SPN
ClientIdentities İstemciden düğüme güvenliği yapılandırıyor. İstemci kullanıcı hesapları dizisi.
Kimlik İstemci kimliği için etki alanı kullanıcı adını (etkialanı\kullanıcıadı) ekleyin.
IsAdmin Etki alanı kullanıcısının yönetici istemci erişimine veya kullanıcı istemci erişimi için false değerine sahip olduğunu belirtmek için true olarak ayarlayın.

Düğümden düğüme güvenlik, service fabric'in gMSA altında çalışması gerektiğinde ClustergMSAIdentity ayarlanarak yapılandırılır. Düğümler arasında güven ilişkileri oluşturmak için birbirlerinin farkında olmaları gerekir. Bu iki farklı yolla gerçekleştirilebilir: Kümedeki tüm düğümleri içeren Grup Yönetilen Hizmet Hesabını belirtin veya Kümedeki tüm düğümleri içeren etki alanı makine grubunu belirtin. Özellikle daha büyük kümeler (10 düğümden fazla) veya büyüme veya küçültme olasılığı olan kümeler için Grup Yönetilen Hizmet Hesabı (gMSA) yaklaşımını kullanmanızı kesinlikle öneririz.
Bu yaklaşım, küme yöneticilerine üye ekleme ve kaldırma erişim hakları verilmiş bir etki alanı grubu oluşturulmasını gerektirmez. Bu hesaplar otomatik parola yönetimi için de kullanışlıdır. Daha fazla bilgi için bkz . Grup Yönetilen Hizmet Hesaplarını Kullanmaya Başlama.

İstemciden düğüme güvenlik ClientId varlıkları kullanılarak yapılandırılır. İstemci ile küme arasında güven oluşturmak için, kümeyi güvenebileceği istemci kimliklerini bilecek şekilde yapılandırmanız gerekir. Bu iki farklı yolla yapılabilir: Bağlanabilecek etki alanı grubu kullanıcılarını belirtin veya bağlanabilecek etki alanı düğümü kullanıcılarını belirtin. Service Fabric, bir Service Fabric kümesine bağlı istemciler için iki farklı erişim denetimi türünü destekler: yönetici ve kullanıcı. Erişim denetimi, küme yöneticisinin farklı kullanıcı grupları için belirli türlerdeki küme işlemlerine erişimi sınırlayarak kümeyi daha güvenli hale getirmesini sağlar. Yöneticilerin yönetim özelliklerine (okuma/yazma özellikleri dahil) tam erişimi vardır. Kullanıcılar varsayılan olarak yalnızca yönetim özelliklerine (örneğin, sorgu özellikleri) okuma erişimine ve uygulama ve hizmetleri çözümleyebilme özelliğine sahiptir. Erişim denetimleri hakkında daha fazla bilgi için bkz . Service Fabric istemcileri için rol tabanlı erişim denetimi.

Aşağıdaki örnek güvenlik bölümü, gMSA kullanarak Windows güvenliğini yapılandırılır ve ServiceFabric.clusterA.contoso.com gMSA'daki makinelerin kümenin bir parçası olduğunu ve CONTOSO\usera'nın yönetici istemci erişimine sahip olduğunu belirtir:

"security": {
    "ClusterCredentialType": "Windows",
    "ServerCredentialType": "Windows",
    "WindowsIdentities": {
        "ClustergMSAIdentity" : "ServiceFabric.clusterA.contoso.com",
        "ClusterSPN" : "http/servicefabric/clusterA.contoso.com",
        "ClientIdentities": [{
            "Identity": "CONTOSO\\usera",
            "IsAdmin": true
        }]
    }
}

Makine grubu kullanarak Windows güvenliğini yapılandırma

Yukarıda ayrıntılı olarak açıklandığı gibi gMSA tercih edilir, ancak bu güvenlik modelinin kullanılması da desteklenir. Microsoft.Azure.ServiceFabric.WindowsServer ile indirilen örnek ClusterConfig.Windows.MultiMachine.JSON yapılandırma dosyası.<sürüm>.zip tek başına küme paketi, Windows güvenliğini yapılandırmaya yönelik bir şablon içerir. Windows güvenliği Özellikler bölümünde yapılandırılır:

"security": {
    "ClusterCredentialType": "Windows",
    "ServerCredentialType": "Windows",
    "WindowsIdentities": {
        "ClusterIdentity" : "[domain\machinegroup]",
        "ClientIdentities": [{
            "Identity": "[domain\username]",
            "IsAdmin": true
        }]
    }
}
Yapılandırma ayarı Açıklama
ClusterCredentialType Düğüm düğüm iletişimi için Windows güvenliğini etkinleştirmek için Windows olarak ayarlayın. 
ServerCredentialType İstemci düğümü iletişimi için Windows güvenliğini etkinleştirmek için Windows olarak ayarlayın.
WindowsId varlıkları Kümeyi ve istemci kimliklerini içerir.
ClusterIdentity Düğümden düğüme güvenliği yapılandırmak için etki alanı\makine grubu adlı bir makine grubu adı kullanın.
ClientIdentities İstemciden düğüme güvenliği yapılandırıyor. İstemci kullanıcı hesapları dizisi.
Kimlik İstemci kimliği için etki alanı kullanıcı adını (etkialanı\kullanıcıadı) ekleyin.
IsAdmin Etki alanı kullanıcısının yönetici istemci erişimine veya kullanıcı istemci erişimi için false değerine sahip olduğunu belirtmek için true olarak ayarlayın.

Düğümden düğüme güvenlik, Active Directory Etki Alanı içinde bir makine grubu kullanmak istiyorsanız ClusterIdentity kullanılarak yapılandırılır. Daha fazla bilgi için bkz . Active Directory'de Makine Grubu Oluşturma.

İstemciden düğüme güvenlik, ClientId varlıkları kullanılarak yapılandırılır. İstemci ile küme arasında güven oluşturmak için, kümeyi kümenin güvenebileceği istemci kimliklerini bilecek şekilde yapılandırmanız gerekir. Güveni iki farklı yolla oluşturabilirsiniz:

  • Bağlanabilecek etki alanı grubu kullanıcılarını belirtin.
  • Bağlanabilecek etki alanı düğümü kullanıcılarını belirtin.

Service Fabric, bir Service Fabric kümesine bağlı istemciler için iki farklı erişim denetimi türünü destekler: yönetici ve kullanıcı. Erişim denetimi, küme yöneticisinin farklı kullanıcı grupları için belirli türlerdeki küme işlemlerine erişimi sınırlamasını sağlar ve bu da kümeyi daha güvenli hale getirir. Yöneticilerin yönetim özelliklerine (okuma/yazma özellikleri dahil) tam erişimi vardır. Kullanıcılar varsayılan olarak yalnızca yönetim özelliklerine (örneğin, sorgu özellikleri) okuma erişimine ve uygulama ve hizmetleri çözümleyebilme özelliğine sahiptir.

Aşağıdaki örnek güvenlik bölümü Windows güvenliğini yapılandırıyor, ServiceFabric/clusterA.contoso.com içindeki makinelerin kümenin bir parçası olduğunu belirtir ve CONTOSO\usera'nın yönetici istemci erişimine sahip olduğunu belirtir:

"security": {
    "ClusterCredentialType": "Windows",
    "ServerCredentialType": "Windows",
    "WindowsIdentities": {
        "ClusterIdentity" : "ServiceFabric/clusterA.contoso.com",
        "ClientIdentities": [{
            "Identity": "CONTOSO\\usera",
            "IsAdmin": true
        }]
    }
},

Not

Service Fabric bir etki alanı denetleyicisine dağıtılmamalıdır. bir makine grubu veya grup Yönetilen Hizmet Hesabı (gMSA) kullanırken ClusterConfig.json etki alanı denetleyicisinin IP adresini içermediğinden emin olun.

Sonraki adımlar

ClusterConfig.JSON dosyasında Windows güvenliğini yapılandırdıktan sonra, Windows üzerinde çalışan tek başına küme oluşturma bölümünde küme oluşturma işlemini sürdürebilirsiniz.

Düğümden düğüme güvenlik, istemciden düğüme güvenlik ve rol tabanlı erişim denetimi hakkında daha fazla bilgi için bkz . Küme güvenliği senaryoları.

PowerShell veya FabricClient kullanarak bağlanma örnekleri için bkz . Güvenli kümeye bağlanma.