|
|
51CTO旗下网站
|
|
移动端

2.2.2.3 安全设置和访问控制

《Microsoft Azure 管理与开发(下册)平台服务PaaS》本书由世纪互联蓝云Microsoft Azure 开发技术支持团队的资深工程师们编写,主要阐述MicrosoftAzure PaaS 服务的开发应用,涉及计算服务、集成认证服务、数据存储服务、大数据服务等方面的内容。本节为大家介绍安全设置和访问控制。

作者:世纪互联蓝云公司来源:电子工业出版社|2018-07-12 16:48

2.2.2.3 安全设置和访问控制

在默认情况下,Azure 创建的群集都面向公网服务。为了保护群集的资源,防止未经许可的访问,Service Fabric 提供了完整的安全方案,提供对群集全方位的保护。整个方案涵盖了群集节点间、客户端到群集,以及基于角色的访问控制等。

1. 群集节点间的安全性

Azure Service Fabric 群集节点间的安全可以使用X509 证书,保证群集节点间的通信安全,证书安全性可以通过Azure 门户或者ReourceManager 的方式进行配置,可以设置一个主要证书和辅助证书。设置两个证书的目的是,以防在更新证书时群集通信出现问题,保证服务的高可用,如图2.2.2-5 所示,是在创建群集时设置安全规则。注意,只有在创建时才能开启安全性。

在为Azure Service Fabric 设置证书时,需要将证书上传至密钥保管库中,然后通过密钥保管库的证书地址和证书指纹指定相应的证书。这样,在群集初始化时,会将密钥保管库中的证书下载并安装到系统中。同样可以在高级设置里,选择添加辅助证书。辅助证书也可以在群集创建之后添加。

2. 客户端到群集的安全性

客户端到群集的安全性有两种方式设置,一种是靠X509 客户端证书来保证的,另外一种是使用Azure Active Directory 来保证。可以同时开启这两种方式。

Service Fabric 不仅保证客户端通信以SSL 方式加密,也可以进行客户端证书认证,在创建群集时的设置安全性的高级选项中,可以选择上传客户端证书,如图2.2.2-6 所示。在设置客户端证书后,在访问群集时,就要求客户端必须要有指定的证书才能够访问服务,这样就能够阻止未经许可的人来访问。

使用Azure Active Directory 也可以保证客户端访问群集的安全性。在高级设置中可以配置Azure AD 的租户ID,以及群集应用程序ID 和客户端应用程序ID。其中租户ID 为创建Azure AD 目录的租户ID,可以在AD 管理界面的查看终结点界面中查看到对应的租户ID。在为群集设置Azure AD 时,需要创建两个AD 应用程序,一个是用来定义对应群集服务的Web 应用程序,需要在这个应用程序中定义两种角色Admin 和User,另外一个应用程序是客户端应用程序,该客户端必须被授权访问之前创建的Web 应用程序。当都设置好之后,在访问集群时,就会被要求使用该AD 目录的用户进行登录认证。

通过这两种方式都可以保护客户端到群集的安全性,也可以两种方式都使用。当两种方式都使用时,就会要求既要安装客户端证书,又要提供用户认证。

3. 基于角色的访问控制

Azure Service Fabric 对客户端访问群集也做了角色控制,分为两种角色,分别是管理员和用户。访问控制可以对不同的用户分组来限定用户对群集的操作权限。在默认情况下,群集管理员角色拥有对群集完全的控制权限;而用户只拥有对资源的只读权限,以及解析应用程序和服务的能力。对两种角色的区分有两种方式,一种是使用证书进行区分,一种是使用Azure AD 的应用程序的角色定义。以下两种方式都可以用来进行角色的访问控制。

(1) 在上传客户端证书时,在证书类型中,可以选择管理客户端证书和只读客户端证书,这个类别就是区分用户是管理员还是用户。当使用管理客户端证书访问群集时,就代表管理员身份。反之,则是普通用户。

(2) 可以通过Azure AD 的方式进行访问控制。在创建群集Web 应用程序时,需要设置应用程序角色,需要为该应用程序设置两种角色,这样就可以登录相应的用户角色。


喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:365934973

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

网络管理员考试全真模拟试题与解析

本书是按照全国计算机技术与软件专业技术资格(水平)考试《网络管理员考试大纲》的要求,参照《网络管理员教程》及近年来考试试题编写的。...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊