1. дома
  2. Вопрос и ответ
  3. Azure Service Fabric Explorer всегда возвращает 403

Azure Service Fabric Explorer всегда возвращает 403

2016-06-18 1 views
10

Я только что развернул защищенный кластер Fabric (EncryptAndSign) с LoadBalancer для подписки на Azure. Развертывание заняло некоторое время, но оно работало, как ожидалось. Также я могу подключиться к кластеру с помощью PowerShell:Azure Service Fabric Explorer всегда возвращает 403

$connectionEndpoint = ("{0}.{1}.cloudapp.azure.com:19000" -f 
    "mycluster", "somewhere") 

Connect-serviceFabricCluster -ConnectionEndpoint $connectionEndpoint ` 
    -KeepAliveIntervalInSec 10 ` 
    -X509Credential ` 
    -ServerCertThumbprint "..." ` 
    -FindType FindByThumbprint ` 
    -FindValue $clusterCertificate.Thumbprint ` 
    -StoreLocation CurrentUser -StoreName My

Это также возможно для меня, чтобы развернуть приложение в кластере через порт 19000 с помощью VisualStudio. Внутри Azure Portal все выглядит хорошо, без предупреждения, без ошибок.

К сожалению, я не могу подключиться через порт 19080 к проводнику. Когда я пытаюсь подключиться через LoadBalancer, я получаю Connection-Timeout. Таким образом, установили RDP-подключение к одному из узлов кластера и попытались получить доступ к Проводник локально через

localhost:19080/Explorer

Но здесь я получаю HTTP-ошибка 403 (Forbidden), которые могут быть причиной Тайм-аут соединения через Load-Balancer (поскольку зонд всегда получает 403). Accroding к Azure Documentation:

«Если вы пытаетесь подключиться к службе Fabric Explorer, на безопасном кластера, ваш браузер попросит вас предъявить свидетельство того , чтобы получить доступ.»

Ну, мне не было предложено представить какой-либо сертификат. Я что-то пропустил? Есть ли что-то особенное для настройки? Заранее спасибо.

источник

2016-06-18 MrFiveT

ответ

9

Хорошо, это было не так сложно, но вы должны это знать, и я еще не читал его. До тех пор, пока вы не настроите любой сертификат клиента Andmin, все ваши запросы к обозревателю (: 19080/Explorer) заканчиваются 403, как описано выше.

Вы можете добавить Отпечаток из администратора сертификата клиента на Портале: Azure Portal - Add Admin Certificate

И он должен (не тестировалось) также работать со следующей настройкой в ​​вашей ARM Шаблон:

{ 
    "type": "Microsoft.ServiceFabric/clusters", 
    ... 
    "properties": { 
    ... 
    "ClientCertificateThumbprints": [ 
     { 
     "CertificateThumbprint": "THUMBPRINT_HERE", 
     "IsAdmin": true 
     } 
    ], 
    ... 
    } 
}

, как вы можно увидеть, что в этом массиве должно быть возможно (также непроверено) указать несколько сертификатов.

источник

2016-06-20 05:35:35 MrFiveT

+1

Hi @fivet. У меня такая же проблема, как и у вас. Я понимаю, что мне нужно добавить сертификат администратора, но какой сертификат добавить? Нужно ли мне сделать новый? Как связать его с моим браузером? Извините за все новички. Я никогда не использовал сертификаты на стороне клиента, поэтому я немного застрял. –

+0

Btw, как и вы, я могу получить доступ к кластеру через Cloud Explorer –

+2

@NickBarrett, так как у вас может быть несколько определенных ClientCerts, вы можете управлять разрешениями с ними, что позволяет вам, например, для совместного использования не-admin-cert с другими, чтобы они могли доступ к кластеру только для чтения (но им не разрешено выполнять какие-либо действия администратора, такие как деактивация узла). Вы также можете удалить cert-отпечатки с помощью, например, Azure Portal, чтобы отменить доступ к лицу с этим сертификатом. По этой причине я бы рекомендовал вам создать хотя бы один новый сертификат. Интеграция браузера зависит от вашего браузера. В Firefox перейдите в Настройки -> Дополнительно -> Сертификаты для управления сертификатами. – MrFiveT

 Смежные вопросы

  • Нет связанных вопросов^_^