雲服務到 Service Fabric 身份驗證?
[英]Cloud Service to Service Fabric authentication?
問題描述
在 Service Fabric 中授權服務到服務流量的推薦方法是什么?
我有一個經典雲服務,我想在服務結構服務中調用 Web API 端點。 有沒有辦法向服務結構集群中的特定 IP 開放特定端口? 或者是否有更好的方法來確保無法從外部 Internet 調用我的服務結構端點?
謝謝!
1 個解決方案
解決方案1
2 2016-08-01 12:41:28
您需要考慮兩個關鍵領域。
首先是保護您的集群和管理 API/功能。 這可以使用證書來實現。 我知道這是一個僅鏈接的答案,但粘貼和重寫太多了。 您應該使用證書保護節點之間的通信,然后使用其他證書保護客戶端(只讀管理員)和管理員“接口”(不要重復使用您用於集群的相同證書)。
完成此操作后,您就可以對集群的安全性充滿信心。 現在您想在集群上托管一個 WebAPI 並讓它與現有的雲服務通信。 這里的要求是保護您的應用程序。
您現在可以使用標准的 WebAPI 安全選項。 我建議通過 HMAC 共享密鑰安全性,因為它簡單且不依賴任何其他基礎設施,您必須安全地存儲密鑰。 如果您有 OAuth 基礎設施, 兩條腿的 OAuth也是一種選擇。 當然,您應該通過 TLS 運行 API。
簡而言之,分別關注保護您的集群“基礎設施”和您的應用程序。
- 使用應用程序網關通過 HTTPS 公開所有 Web API
- 應用 IP 過濾器,因此只有來自企業網絡的服務才能調用 Web API,我們將通過應用網絡安全組來實現這一點。
- 保護 Service Fabric 節點,使其不公開 RDP 終結點。 RDP 只能訪問 Jumpbox VM。
- 添加 Web 應用程序防火牆以應用更高級和更精細的威脅/入侵檢測。
可以通過利用 Azure 基礎結構相關功能(應用程序網關、網絡安全組、Web 應用程序防火牆和安全中心)來應用這些要求。 除了這些要求之外,您很可能還想:
- 向您的 Web APIS 添加身份驗證/授權功能。
- 以安全的方式管理數據,您可能需要加密數據(參與者和集合)。
本地調試 - 雲服務和 Service Fabric 與應用服務
[英]Local Debugging - Cloud Service and Service Fabric vs. App Service
Service Fabric Owin Pipeline中的WsFederation身份驗證無法正常工作
[英]WsFederation authentication in Service Fabric Owin Pipeline not working
將Cloud Service Web角色遷移到具有存儲依賴性的Service Fabric
[英]Migrate a Cloud Service Web Role to Service Fabric with Storage Dependencies
使用Windows身份驗證保護Service Fabric無狀態WebAPI端點
[英]Securing the Service Fabric Stateless WebAPI Endpoint with Windows Authentication
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
雲中的Service Fabric部署
本地調試 - 雲服務和 Service Fabric 與應用服務
Service Fabric Owin Pipeline中的WsFederation身份驗證無法正常工作
將Cloud Service Web角色遷移到具有存儲依賴性的Service Fabric
服務結構服務遠程處理
使用Windows身份驗證保護Service Fabric無狀態WebAPI端點
Service Fabric - 服務初始化失敗
Service Fabric無狀態服務行為
Service Fabric for Linux 中的服務通信
服務結構無狀態服務授權
相關標簽