[英]Cloud Service to Service Fabric authentication?
在 Service Fabric 中授权服务到服务流量的推荐方法是什么?
我有一个经典云服务,我想在服务结构服务中调用 Web API 端点。 有没有办法向服务结构集群中的特定 IP 开放特定端口? 或者是否有更好的方法来确保无法从外部 Internet 调用我的服务结构端点?
谢谢!
您需要考虑两个关键领域。
首先是保护您的集群和管理 API/功能。 这可以使用证书来实现。 我知道这是一个仅链接的答案,但粘贴和重写太多了。 您应该使用证书保护节点之间的通信,然后使用其他证书保护客户端(只读管理员)和管理员“接口”(不要重复使用您用于集群的相同证书)。
完成此操作后,您就可以对集群的安全性充满信心。 现在您想在集群上托管一个 WebAPI 并让它与现有的云服务通信。 这里的要求是保护您的应用程序。
您现在可以使用标准的 WebAPI 安全选项。 我建议通过 HMAC 共享密钥安全性,因为它简单且不依赖任何其他基础设施,您必须安全地存储密钥。 如果您有 OAuth 基础设施, 两条腿的 OAuth也是一种选择。 当然,您应该通过 TLS 运行 API。
简而言之,分别关注保护您的集群“基础设施”和您的应用程序。
可以通过利用 Azure 基础结构相关功能(应用程序网关、网络安全组、Web 应用程序防火墙和安全中心)来应用这些要求。 除了这些要求之外,您很可能还想:
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.