是否可以在Service Fabric中隔離應用程序？

Question

當運行Service Fabric集羣時，在其中運行多個應用程序是有意義的，但這些應用程序可能不以任何方式相互依賴。例如，我可以在那裏有一個CustomerApp和一個WikiApp。

從安全角度來看，如果WikiApp可以與CustomerApp隔離，那麼很好，因爲Wiki顯然不應該能夠從持有客戶數據的應用程序連接到服務。我可以將身份驗證放入CustomerApp本身的服務中，只允許來自經過身份驗證的服務的調用，但此外，如果WikiApp甚至無法連接或查看其他應用程序並且無法解析端點來自命名服務的地址。

那麼有沒有一種方法可以在平臺特性中真正隔離Service Fabric中的應用程序？在文檔中我找不到任何關於它的信息，我也懷疑Service Fabric的工作方式是可能的，但它會非常有用。

而且很清楚，我真的在談論隔離應用程序（ApplicationTypes），而不是單個應用程序中的服務。

Answer 1

有隔離的一些層面建立在：

• 應用實例具有進程級隔離，因爲每個應用程序實例在其自身的進程運行。
• 使用佈局約束，節點隔離是可能的，通過限制它們在不同節點上運行來「隔離」彼此的服務。
• 將來可以使用容器支持，應用程序和服務可以在容器內部運行，以進一步隔離環境和資源。
• 服務可以在唯一的用戶帳戶下運行，您可以使用這些帳戶在應用程序級別自行執行身份驗證。

但不幸的是，今天在平臺中沒有細化的基於角色的訪問機制。因此，例如，像運行查詢來獲取應用程序或服務列表或使用命名服務解析端點的系統級操作沒有任何內置的基於角色的訪問。