云服务到 Service Fabric 身份验证?
[英]Cloud Service to Service Fabric authentication?
问题描述
在 Service Fabric 中授权服务到服务流量的推荐方法是什么?
我有一个经典云服务,我想在服务结构服务中调用 Web API 端点。 有没有办法向服务结构集群中的特定 IP 开放特定端口? 或者是否有更好的方法来确保无法从外部 Internet 调用我的服务结构端点?
谢谢!
1 个解决方案
解决方案1
2 2016-08-01 12:41:28
您需要考虑两个关键领域。
首先是保护您的集群和管理 API/功能。 这可以使用证书来实现。 我知道这是一个仅链接的答案,但粘贴和重写太多了。 您应该使用证书保护节点之间的通信,然后使用其他证书保护客户端(只读管理员)和管理员“接口”(不要重复使用您用于集群的相同证书)。
完成此操作后,您就可以对集群的安全性充满信心。 现在您想在集群上托管一个 WebAPI 并让它与现有的云服务通信。 这里的要求是保护您的应用程序。
您现在可以使用标准的 WebAPI 安全选项。 我建议通过 HMAC 共享密钥安全性,因为它简单且不依赖任何其他基础设施,您必须安全地存储密钥。 如果您有 OAuth 基础设施, 两条腿的 OAuth也是一种选择。 当然,您应该通过 TLS 运行 API。
简而言之,分别关注保护您的集群“基础设施”和您的应用程序。
- 使用应用程序网关通过 HTTPS 公开所有 Web API
- 应用 IP 过滤器,因此只有来自企业网络的服务才能调用 Web API,我们将通过应用网络安全组来实现这一点。
- 保护 Service Fabric 节点,使其不公开 RDP 终结点。 RDP 只能访问 Jumpbox VM。
- 添加 Web 应用程序防火墙以应用更高级和更精细的威胁/入侵检测。
可以通过利用 Azure 基础结构相关功能(应用程序网关、网络安全组、Web 应用程序防火墙和安全中心)来应用这些要求。 除了这些要求之外,您很可能还想:
- 向您的 Web APIS 添加身份验证/授权功能。
- 以安全的方式管理数据,您可能需要加密数据(参与者和集合)。
本地调试 - 云服务和 Service Fabric 与应用服务
[英]Local Debugging - Cloud Service and Service Fabric vs. App Service
Service Fabric Owin Pipeline中的WsFederation身份验证无法正常工作
[英]WsFederation authentication in Service Fabric Owin Pipeline not working
将Cloud Service Web角色迁移到具有存储依赖性的Service Fabric
[英]Migrate a Cloud Service Web Role to Service Fabric with Storage Dependencies
使用Windows身份验证保护Service Fabric无状态WebAPI端点
[英]Securing the Service Fabric Stateless WebAPI Endpoint with Windows Authentication
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
云中的Service Fabric部署
本地调试 - 云服务和 Service Fabric 与应用服务
Service Fabric Owin Pipeline中的WsFederation身份验证无法正常工作
将Cloud Service Web角色迁移到具有存储依赖性的Service Fabric
服务结构服务远程处理
使用Windows身份验证保护Service Fabric无状态WebAPI端点
Service Fabric - 服务初始化失败
Service Fabric无状态服务行为
Service Fabric for Linux 中的服务通信
服务结构无状态服务授权
相关标签