C# 云服务到服务结构身份验证？

在service Fabric中授权service-to-service流量的推荐方法是什么

我有一个经典的云服务，我想让它调用服务结构服务中的Web API端点。有没有办法向服务结构群集中的特定IP开放特定端口？还是有更好的方法确保我的服务结构端点不能从外部internet调用

---

谢谢

您需要考虑两个关键领域

首先是保护您的群集和管理API/功能。我知道这是一个链接唯一的答案，但它太多，粘贴和重写。您应该使用证书保护节点之间的通信，然后使用其他证书保护客户端（只读管理员）和管理员“接口”（不要重复使用用于集群的证书）

完成此操作后，您可以对集群的安全性充满信心。现在，您希望在集群上托管一个WebAPI，并让它与现有的云服务进行通信。此处的要求是保护应用程序的安全

您现在可以使用标准的WebAPI安全选项。我会推荐它的简单性和不依赖任何进一步的基础设施，除非您必须安全地存储您的密钥。如果您有OAuth基础设施，也可以选择。当然，您应该在TLS上运行API

简言之，分别关注集群“基础设施”和应用程序的安全

使用应用程序网关通过HTTPS公开所有Web API

应用IP筛选器，这样只有来自公司网络的服务才能调用Web API，我们将通过应用网络安全组来实现这一点

保护服务结构节点的安全，这样它们就不会公开RDP端点。RDP只能访问Jumpbox VM

添加Web应用程序防火墙以应用更高级、更细粒度的威胁/入侵检测

可以通过利用Azure基础设施相关功能（应用程序网关、网络安全组、Web应用程序防火墙和安全中心）来应用这些要求。除了这些要求外，您很可能还想：

向Web API添加身份验证/授权功能

以安全的方式管理数据，可能需要加密数据（参与者和集合）