Service Fabric 受控叢集的拒絕指派原則

Service Fabric 受控叢集的拒絕指派原則可讓客戶保護其叢集的資源。 限制特定動作的存取，可協助使用者在刪除、解除配置、重新啟動其叢集的擴展集或重新製作其映像時，防止其叢集意外損毀。 在基礎結構資源群組中直接完成時的這些動作，可能會導致透過叢集中的資料將叢集的資源去同步處理。

拒絕指派會將一組拒絕動作附加至特定範圍的使用者、群組或服務主體，以拒絕存取。 您可以在 Azure 角色型存取控制 (RBAC) 文件中深入了解拒絕指派。

本文內容與 Service Fabric 受控叢集有關，但當資訊也與傳統叢集有關時，我們會提供圖說文字。

適當的動作

與受控叢集相關的所有動作都應該透過受控叢集資源 API 來完成，而不是直接針對基礎結構資源群組完成。 使用資源 API 可確保叢集的資源與受控叢集中的資料同步。

請參閱最佳做法一節以取得指導，了解要使用哪些工具來完成適當資源 API。

封鎖的動作

使用受控叢集時會封鎖下列動作，且這些動作不適用於傳統叢集。

• VMSS 刪除
  • "Microsoft.Compute/virtualMachineScaleSets/delete"
• VMSS 重新製作映像、重新啟動、解除配置
  • "Microsoft.Compute/virtualMachineScaleSets/reimage/action"
  • "Microsoft.Compute/virtualMachineScaleSets/restart/action"
  • "Microsoft.Compute/virtualMachineScaleSets/deallocate/action"
• VM 刪除
  • "Microsoft.Compute/virtualMachineScaleSets/delete/action"
• 儲存體帳戶寫入和刪除
  • "Microsoft.Storage/storageAccounts/delete"
  • "Microsoft.Storage/storageAccounts/write"
• 資源群組刪除
  • "Microsoft.Resources/subscriptions/resourceGroups/delete"
• 負載平衡器寫入
  • "Microsoft.Network/loadBalancers/write"

最佳作法

以下是一些最佳做法，可將解除叢集資源同步的威脅降至最低：

• 不要直接從受控資源群組刪除虛擬機器擴展集，而是使用 NodeType 層級 API 刪除 NodeType 或虛擬機器擴展集。 選項包括 Azure 入口網站上的 [節點] 刀鋒視窗，以及 Azure PowerShell。
• 使用正確的 API 重新啟動擴展集或重新安裝其映像：
  • 虛擬機器擴展集重新啟動
  • 虛擬機器擴展集重新安裝映像

管理受控叢集中的資源時，請使用 ARM 或 ARM 支援的工具，以確保使用適當的資源 API。

公用程式	ARM 或 ARM 支援
ARM 和 ARM 範本	Yes
Bicep	Yes
Azure 入口網站	Yes
Azure CLI	Yes
Azure PowerShell	Yes
Service Fabric PowerShell	否
sfctl	否

重要

在 ARM 或 ARM 支援的工具所建立的傳統叢集中管理資源時，請繼續使用那些工具。 使用非 ARM 工具修改在 ARM 中建立的資源設定時，可能會發生錯誤 (例如，使用 Service Fabric PowerShell 更新或刪除在 ARM 中建立的資源)。

下一步

• 深入了解授與存取受控叢集上資源的權限