是否可以在 Service Fabric 中将应用程序彼此隔离？

Question

在运行 Service Fabric 群集时，可以在其中运行多个应用程序，但这些应用程序可能不会以任何方式相互依赖。例如，我可以在其中有一个 CustomerApp 和一个 WikiApp。

现在从安全的角度来看，如果 WikiApp 可以与 CustomerApp 隔离，那就太好了，因为 Wiki 显然不应该能够从保存客户数据的应用程序连接到服务。我可以将身份验证放入 CustomerApp 本身的服务中，以仅允许来自经过身份验证的服务的调用，但此外，如果 WikiApp 甚至无法连接或查看其他应用程序并且无法解析端点，那就更好了来自命名服务的地址。

那么有没有办法在 Service Fabric 中通过平台功能真正隔离应用程序？我在文档中找不到任何关于它的信息，我也怀疑 Service Fabric 的工作方式是否可行，但它会非常有用。

明确地说，我说的是相互隔离应用程序 (ApplicationTypes)，而不是单个应用程序中的服务。

Answer 1

内置了一些级别的隔离：

• 应用程序实例具有进程级隔离，因为每个应用程序实例都在自己的进程中运行。
• 节点隔离是可能的，使用放置约束，通过约束服务在不同节点上运行来“隔离”服务。
• 未来将提供容器支持，应用程序和服务可以在容器内运行，以进一步隔离环境和资源。
• 服务可以在唯一的用户帐户下运行，您可以使用这些帐户在应用程序级别自行执行身份验证。

但不幸的是，今天的平台没有内置基于角色的细粒度访问机制。因此，例如，运行查询以获取应用程序或服务列表或使用命名服务解析端点等系统范围的操作没有内置任何基于角色的访问权限。