Visão geral de soluções de área restrita (SharePoint Server 2010)
Aplica-se a: SharePoint Foundation 2010, SharePoint Server 2010
Tópico modificado em: 2016-11-30
Uma Microsoft SharePoint Server 2010 solução é um pacote implantável e reutilizável que pode conter recursos, definições de site e outras funcionalidades. As soluções podem ser habilitadas ou desabilitadas individualmente. É possível implantar uma solução diretamente em seu farm do SharePoint Server ou é possível implantar a solução em uma área restrita. Uma área restrita é um ambiente de execução restrito que permite aos programas acessar apenas determinados recursos e impede que os problemas que ocorrem na área restrita afete o restante do ambiente do servidor. As soluções que você implanta em uma área restrita, conhecidas como soluções em área restrita, não podem usar certos recursos de rede e do computador e não podem acessar o conteúdo fora do conjunto de sites no qual estão implantadas. Para obter mais informações sobre soluções, consulte Visão geral sobre soluções (https://go.microsoft.com/fwlink/?linkid=156638&clcid=0x416).
Como soluções de área restrita não podem afetar o farm de servidores inteiro, elas não precisam ser implantadas por um administrador do farm. Essas soluções podem ser implantadas por um administrador do conjunto de sites ou, em certas situações, por um usuário com o nível de permissão Controle total na raiz do conjunto de sites. No entanto, apenas um administrador do farm pode definir as configurações relacionadas às soluções em área restrita, como balanceamento de carga, camadas, cotas e pontos de recursos e somente um administrador de farm pode promover uma solução de área restrita para execução diretamente no farm, fora do ambiente de área restrita.
Este artigo apresenta os conceitos relacionados às soluções em área restrita, descreve as utilizações e os benefícios dessas soluções, explica a diferença entre soluções em área restrita e as soluções implantadas no farm, resume como as soluções em área restrita são implantadas, descreve o serviço de solução em área restrita, explica os pontos e cotas de recurso e descreve as tarefas associadas à administração das soluções. Este artigo não contém procedimentos detalhados sobre como configurar soluções em área restrita ou como implantar essas soluções. Para obter informações sobre como realizar tarefas específicas relacionadas às soluções em área restrita, consulte Administração de soluções em área restrita (SharePoint Server 2010) e Instalando, desinstalando e atualizando soluções em área restrita (https://go.microsoft.com/fwlink/?linkid=220252&clcid=0x416).
Neste artigo:
Utilização e benefícios das soluções em área restrita
Entendendo as soluções em área restrita
Implantando soluções de área restrita
Entendendo o serviço de soluções em área restrita
Entendendo as cotas e pontos de recurso
Administrando as soluções em área restrita
Utilização e benefícios das soluções em área restrita
Há dois cenários comuns onde é apropriado usar soluções em área restrita:
Quando uma organização deseja executar um código para funcionários em um site de produção do SharePoint Server, e esse código não foi rigorosamente analisado e testado.
Quando um hoster deseja permitir que os proprietários de sites hospedados do SharePoint Server carreguem e executem um código personalizado.
Os principais benefícios do uso de soluções de área restrita são os seguintes:
Soluções em área restrita podem ser adicionadas a um ambiente de produção do SharePoint Server sem o risco de afetarem processos fora da área restrita.
Os administradores do conjunto de sites podem implantar soluções em área restrita. Isso libera os administradores de farm dessa tarefa.
A escalabilidade e a flexibilidade aumentam, já que as áreas de segurança são executadas em um processo separado que pode ser restringido por cotas, e seu efeito no farm pode ser monitorado.
Uma solução não precisará ser modificada ou recompilada se for movida de uma área restrita de modo a ser executada diretamente no farm.
Entendendo as soluções em área restrita
As soluções são agrupadas como arquivos .wsp que podem conter recursos, definições de site, Web Parts e conjuntos. Há dois tipos de solução: farm e em área restrita. As soluções de farm são implantadas em servidores Web front-end por um administrador de farm, têm acesso total ao modelo de objeto do servidor e não estão sujeitas a quaisquer limites de uso. Por comparação, as soluções em áreas restrita podem ser implantadas por um administrador de conjunto de sites ou por um usuário com o nível de permissão Controle total na raiz do conjunto de sites , na galeria de soluções de um conjunto de sites. As soluções em área restrita têm acesso limitado ao modelo de objeto do servidor e executam em um contexto com segurança restrita que proporciona isolamento e monitoramento do código das soluções. Os administradores de farm podem habilitar ou desabilitar as soluções em área restrita e definir limites de uso para proteger os servidores do farm de códigos mal-intencionados. Para obter mais informações sobre as soluções, consulte Blocos de construção: soluções (https://go.microsoft.com/fwlink/?linkid=220253&clcid=0x416).
O que uma solução de área restrita não pode fazer
Uma solução do SharePoint Server deve conter o arquivo de configuração denominado manifest.xml e também pode conter assemblies e arquivos de configuração adicionais. Se a solução for executada em uma área restrita, o assembly e os arquivos de configuração apresentarão limitações quanto ao que podem fazer.
A lista a seguir identifica as ações mais comuns que um assembly em execução em uma área restrita não pode executar:
Conectar-se a recursos que não estão localizados no farm local.
Acessar um banco de dados.
Alterar o modelo de threading.
Chamar um código não gerenciado.
Gravar em disco.
Acessar recursos em um conjunto de sites diferente.
Para obter mais informações sobre o que uma solução em área restrita pode ou não fazer, consulte O que pode ser implementado em uma solução em área restrita (https://go.microsoft.com/fwlink/?linkid=220254&clcid=0x416) e Restrições para soluções em área restrita (https://go.microsoft.com/fwlink/?linkid=220255&clcid=0x416).
Entendendo o balanceamento de carga para soluções em área restrita
O SharePoint Server fornece dois esquemas de balanceamento de carga usados para determinar em qual servidor será executada uma solução em área restrita. Os administradores de farm podem selecionar um dos seguintes esquemas de balanceamento de carga para aplicar as soluções em área restrita por todo o farm:
Balanceamento de carga local A solução em área restrita é executada no mesmo servidor que recebeu a solicitação.
Balanceamento de carga remota O servidor no qual a solução em área restrita é executada é selecionado com base na afinidade da solução e a solução em área restrita é executada em um servidor no qual já foi carregada e executada. Isso economiza o tempo de preparo da solicitação para a solução.
Independentemente de qual esquema de balanceamento de carga você seleciona, as soluções em área restrita precisam estar em execução em cada servidor onde você deseja executar as soluções em área restrita.
Observação
O serviço de soluções em área restrita tem nomes diferentes, dependendo de onde você acessa o serviço. No site de Administração Central do SharePoint, o serviço é chamado de Serviço de Código em Modo Seguro do Microsoft SharePoint Foundation. No console Serviços no servidor, o serviço é chamado de SharePoint User Code Host. Para evitar confusão, este artigo se refere ao serviço com o "serviço de soluções em área restrita".
É possível aumentar o isolamento de soluções em área restrita usando o balanceamento de carga remoto e executando o serviço de soluções em área restrita somente em servidores específicos. Em um ambiente de produção, recomendamos que você use o balanceamento de carga remoto e dedique um servidor separado à execução das soluções em área restrita. Para obter mais informações sobre como decidir qual esquema de balanceamento de carga usar, consulte Plano para realizar o balanceamento de carga do código de soluções em área restrita em Planejar soluções em área restrita (SharePoint Server 2010).
Comparação entre soluções de área restrita e soluções de farm
A tabela a seguir compara aspectos de soluções executadas em um farm com soluções executadas em uma área restrita.
| Aspecto | Farm | Área restrita |
|---|---|---|
Processo de implantação |
Adicionar a solução e depois implantá-la no farm. |
Carregar a solução em um conjunto de sites e depois ativá-la nesse conjunto. |
Quem pode implantar |
Administrador do farm. |
Se a solução contiver um assembly, apenas um administrador do conjunto de sites poderá implantá-la. Se ela não contiver um assembly, um usuário com o nível de permissão Controle total na raiz do conjunto de sites poderá implantá-la. |
Acesso a dados |
Sem restrição. |
A solução somente pode acessar conteúdo do conjunto de sites no qual ela foi implantada. |
Processo no qual a solução é executada |
Processo de trabalho sem restrição do IIS ou qualquer processo no qual a solução esteja implantada. |
Processo de trabalho separado que possui permissões restritas. |
Segurança de acesso do código |
O desenvolvedor da solução pode definir a diretiva de segurança de acesso do código ao preparar a solução. |
Restrita. |
Monitoramento |
Não monitorado. |
Monitorado e limitado por cotas definidas pelo administrador do farm. |
Balanceamento de carga |
Varia de acordo com o tipo de solução. |
Configurável separadamente de soluções fora da área restrita. |
Funcionalidade da solução |
Sem restrição. |
Restrita, conforme descrita em O que as soluções em área restrita não podem fazer, anteriormente neste artigo. |
Embora as soluções em área restrita tenham restrições com relação ao código que podem e não podem usar e quais dados podem ou não acessar, é possível criar um tipo especial de operação que executa em um processo de confiança total e pode ser chamada a partir de uma solução em área restrita. Isso é conhecido como proxy de confiança total. Para obter mais informações sobre os proxys de confiança total, consulte Soluções em área restrita em parceria com os proxys de confiança total (https://go.microsoft.com/fwlink/?linkid=220256&clcid=0x416) e Capítulo 4: soluções em área restrita (https://go.microsoft.com/fwlink/?linkid=219528&clcid=0x416).
Implantando soluções em área restrita
Qualquer página de um site do SharePoint Server pode conter componentes que são executados em uma área restrita, além de outros componentes que são executados diretamente no farm. Os componentes implantados no farm são executados no processo de trabalho do IIS (Serviços de Informações da Internet). Os componentes implantados na área restrita são executados em um processo de área restrita.
A lista a seguir identifica os componentes que podem ser implantados em uma área restrita.
Web Parts
Receptores de eventos
Receptores de recursos
Atividades de fluxo de trabalho personalizadas do Microsoft SharePoint Designer
Lógica de negócios do Microsoft InfoPath
As etapas a seguir descrevem as tarefas necessárias para preparar e implantar soluções em área restrita:
Um administrador do farm realiza as tarefas a seguir somente uma vez.
habilita as soluções em áreas restritas e inicia o serviço de soluções em área restrita em cada servidor que executará as soluções em área restrita. Para obter mais informações sobre como habilitar o serviço de soluções em área restrita, consulte Enable sandboxed solutions on the farm (SharePoint Server 2010).
determina qual esquema de balanceamento de carga deve ser usado. O esquema de balanceamento de carga se aplica a todas as soluções de área restrita de todos os conjuntos de sites do farm. Para obter informações sobre como selecionar um esquema de balanceamento de carga, consulte Configure load balancing for sandboxed solutions (SharePoint Server 2010).
define cotas de recursos que a combinação de todas as soluções em área restrita em um conjunto de sites não pode exceder. Para obter informações sobre como definir as cotas de recurso, consulte Configurar os pontos de recurso para soluções de área restrita (SharePoint Server 2010).
Um administrador de conjunto de sites ou um usuário com nível de permissão Controle total na raiz do conjunto de sites carrega uma solução na galeria de soluções do conjunto de sites. Para obter informações sobre como carregar uma solução em uma galeria de solução, consulte Instalando, desinstalando e atualizando soluções em área restrita (https://go.microsoft.com/fwlink/?linkid=220252&clcid=0x416).
Um administrador do conjunto de sites ativa a solução. Se ela não contiver um assembly, um usuário com nível de permissão Controle total na raiz do conjunto de sites também poderá ativá-la. Ferramentas de validação são executadas na solução. Se esta última não passar na validação, ela não será ativada. Para obter mais informações sobre como validar e ativar uma solução em área restrita, consulte Instalando, desinstalando e atualizando as soluções em área restrita (https://go.microsoft.com/fwlink/?linkid=220252&clcid=0x416).
Os administradores de conjunto de sites podem monitorar os recursos usados pelas soluções em área restrita e podem desativar essas soluções no conjunto de sites. Se, após a implantação de uma solução em área restrita, ela começar a usar muitos recursos ou causar problemas no ambiente de área restrita, um administrador de farm poderá bloquear a execução de uma solução em área restrita no farm. Como opção, um administrador de farm também pode remover o requisito de que exige que uma solução em área restrita seja executada em uma área restrita reinstalando a solução como uma solução de farm. Se o requisito de execução em uma área restrita for removido, a próxima execução da solução em qualquer conjunto de sites no farm não ocorrerá mais em um ambiente de área restrita. Para obter informações sobre como bloquear uma solução em área restrita, consulte Block or unblock a sandboxed solution (SharePoint Server 2010). Para obter informações sobre como instalar uma solução de farm, consulte Implantar pacotes de solução (SharePoint Server 2010).
Entendendo o serviço de soluções em área restrita
O serviço de soluções em área restrita gerencia a execução das soluções em área restrita em todo um farm. Dois processos são executados no serviço de solução em área restrita: o processo de trabalho e o processo de proxy. Cada solução em área restrita é executada dentro de um domínio de aplicativo no processo de trabalho. O processo de trabalho gerencia as soluções em área restrita controlando os recursos acessados por cada solução e parando os processos que demoram muito para serem executados. Cada processo de trabalho é emparelhado com um processo de proxy que lida com as chamadas para o modelo de objeto do SharePoint. Para obter uma explicação detalhada de como o serviço de soluções em área restrita funciona, consulte "Como funciona o modelo de execução em área restrita?" em Soluções em área restrita (https://go.microsoft.com/fwlink/?linkid=220257&clcid=0x416).
Entendendo as camadas
Com base no número médio de recursos por solicitação usados pelas soluções em área restrita, elas podem ser agrupadas em camadas dentro do serviço de solução em área restrita. Como mostra a ilustração abaixo, uma camada no serviço de soluções em área restrita contém um ou mais processos de trabalho nos quais as soluções em área restrita são executadas. Cada solução em área restrita é executada em seu próprio domínio de aplicativo, que é reutilizado quando a solução é invocada.
.gif "Camadas no serviço de soluções em área restrita")
Por padrão, todas as soluções em área restrita são executadas no serviço de soluções em área restrita em uma camada, que contém um único processo de trabalho. Por padrão, esse processo de trabalho pode executar até 10 domínios de aplicativo. Um administrador de farm pode configurar camadas adicionais e processos de trabalho no serviço de soluções em área restrita a fim de separar as soluções em área restrita por desempenho, segurança e confiabilidade. Se uma solução em área restrita em um processo de trabalho específico usar muitos recursos, essa solução fará com que todas as soluções em área restrita nesse processo de trabalho parem. Como as soluções em área restrita são monitoradas com relação a quantidade de recursos que usam, elas são automaticamente separadas em camadas adicionais com base no uso de recursos do dia anterior. Portanto, a criação de processo de trabalho e camadas adicionais ajuda a isolar as soluções e protege as soluções com bom desempenho de soluções com fraco desempenho forçando a execução das soluções com fraco desempenho em camadas diferentes.
Os administradores de farm podem definir as seguintes propriedades para cada camada:
ResourceMaxValue Essa propriedade é um número que determina quais soluções em área restrita serão executadas na camada. O padrão é 0 e deve ser definido como um valor superior ou a camada nunca será usada.
MaximumWorkerProcesses Essa propriedade representa o número máximo de processos de trabalho que podem ser executados na camada. O padrão é 1. A configuração dessa propriedade para mais de 1 causará a criação de um processo de trabalho adicional no servidor que está lidando com a solicitação.
MaximumAppDomainsPerProcess Essa propriedade representa o número máximo de domínios de aplicativo que podem ser executados em um processo de trabalho na camada. O padrão é 10.
MaximumConnectionsPerProcess Essa propriedade representa o número máximo de conexões permitidas a partir do serviço de soluções em área restrita para um processo de trabalho na camada. O padrão é 1.
PriorityPerProcess Essa propriedade representa a prioridade atribuída pelo sistema operacional aos processos de trabalho na camada.
Para obter mais informações sobre as camadas, consulte Usando camadas de execução para proteger soluções em área restrita com bom desempenho (https://go.microsoft.com/fwlink/?linkid=220258&clcid=0x416) e Camadas em área restrita (https://go.microsoft.com/fwlink/?linkid=217145&clcid=0x416). Para obter informações sobre como configurar as camadas, consulte Configurar as camadas do serviço de soluções de área restrita (SharePoint Server 2010).
Entendendo as cotas e pontos de recurso
As soluções em área restrita são monitoradas com relação ao uso de recursos com base nas cotas padrão, que são monitoradas por conjunto de sites. Quando você define cotas para seu conjunto de sites, você ajuda a impedir que qualquer solução em área restrita use muitos recursos do sistema. Se uma ou mais soluções em área restrita exceder a cota definida para o conjunto de sites, todas as soluções em área restrita nesse conjunto de sites serão automaticamente interrompidas até que o trabalho de timer Atualização Diária do Uso de Recursos da Solução seja executado, o que normalmente ocorre toda noite.
As cotas são gerenciadas por meio do site de Administração Central do SharePoint como um número único que controla o total agregado de pontos de recurso permitidos por dia para todas as soluções em área restrita em um conjunto de sites. Os administradores de farm podem criar um modelo de cota que pode ser aplicado a qualquer conjunto de sites no farm. Para obter informações sobre como planejar cotas, consulte Planejar o gerenciamento de cotas (SharePoint Server 2010). Para obter informações sobre como criar modelos de cota, consulte Criar, editar e excluir modelos de cota (SharePoint Server 2010). Para obter informações sobre como definir a cota máxima de recursos para um conjunto específico, consulte Change the storage limits for a site collection em Manage site collection storage limits (SharePoint Server 2010).
Para restringir os recursos consumidos por suas soluções em área restrita, defina os pontos de recurso. Os pontos de recurso correspondem a níveis específicos de utilização de recursos que podem ser definidos para até 15 medidas de recursos (ou seja, recursos do sistema que você deseja monitorar) e são acumulados para todo o conjunto de sites à medida que as soluções em área restrita são executadas. Quando você exibe as medidas de recurso dentro de uma cota, é possível ver o número de recursos por ponto; isso representa o número de vezes que um recurso específico pode ser usado até que um único ponto de recurso esteja acumulado. Para cada medida de recurso, os administradores de farm podem configurar as seguintes propriedades:
MinimumThreshold O nível mínimo de utilização de recursos que precisa ser alcançado antes de ser agregado no total em execução para a cota de conjunto de sites.
AbosoluteLimit O nível máximo de utilização de recursos dentro de uma única solicitação que pode ocorrer antes do processo de trabalho ser interrompido.
ResourcesPerPoint A quantidade ou nível de um recurso específico igual a um ponto de recurso e deduzido da cota total para o conjunto de sites.
Quando a utilização de recurso alcança o limite especificado pela propriedade ResourcesPerPoint, o conjunto de sites acumula um ponto de recurso. Se o número cumulativo de pontos de recurso exceder a cota para um conjunto de sites, todas as soluções em área restrita no conjunto de sites serão desativadas no restante do dia.
Provavelmente, os limites do ponto de recurso padrão serão satisfatórios para a maioria dos cenários. No entanto, é possível ajustar limites de pontos de recurso individuais a fim de aumentar os limites quando for adequado. Para obter mais informações sobre como ajustar os limites de pontos de recurso individuais, consulte Configurar os pontos de recurso para soluções de área restrita (SharePoint Server 2010).
Os administradores de farm podem ajustar a distribuição de pontos de recurso usando o Windows PowerShell em um script para configurar a distribuição de pontos de recurso individuais na cota de soluções em área restrita para um conjunto de sites. Para obter uma lista de medidas de recurso individuais e o limite mínimo, o limite absoluto e os recursos por ponto para cada medida de recurso, consulte Limites de uso de recursos em soluções em área restrita no SharePoint 2010(https://go.microsoft.com/fwlink/?linkid=217149&clcid=0x416). Para obter informações sobre como definir as configurações para medidas de recurso específicas, consulte Configurar os pontos de recurso para soluções de área restrita (SharePoint Server 2010).
Observação
Se você determinar que uma solução em área restrita está usando de forma inadequada e consistente os recursos do servidor, poderá bloquear essa solução até que o desenvolvedor corrija a situação. Para obter mais informações sobre como bloquear e desbloquear soluções em área restrita, consulte Block or unblock a sandboxed solution (SharePoint Server 2010).
Administrando soluções em área restrita
Como administrador de um farm, é possível executar o seguinte para administrar soluções em área restrita e o serviço de soluções em área restrita:
habilitar o serviço de soluções em área restrita em servidores no farm.
alterar o esquema de balanceamento de carga para um farm.
bloquear ou desbloquear uma solução em área restrita em um farm.
configurar cotas para conjuntos de site em um farm.
configurar os modelos de cota em um farm.
Use o Windows PowerShell para fazer o seguinte:
exibir as configurações de cota para um conjunto de sites.
exibir e configurar pontos de recurso para medidas de recurso específicas.
exibir e configurar camadas para o serviço de soluções em área restrita.
Para obter mais informações sobre como administrar soluções em área restrita e o serviço de soluções em área restrita, consulte Administração de soluções em área restrita (SharePoint Server 2010).
Os administradores de conjunto de sites podem fazer o seguinte para administrar as soluções em área restrita.
Carregar soluções em área restrita na galera de Soluções em um conjunto de sites. Para obter mais informações, consulte Instalando, desinstalando e atualizando as soluções em área restrita no SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=220252&clcid=0x416).
Monitorar os pontos de recurso usados por soluções em área restrita individuais. Para obter mais informações, consulte "Usando as ferramentas de conjunto de sites" no Capítulo 4: soluções em área restrita (https://go.microsoft.com/fwlink/?linkid=219528&clcid=0x416).
See Also
Concepts
Planejar soluções de área restrita (SharePoint Server 2010)
Administração de soluções em área restrita (SharePoint Server 2010)
Other Resources
Central de Recursos de soluções em área restrita
Arquitetura das soluções em área restrita (https://go.microsoft.com/fwlink/?linkid=177368&clcid=0x416)
Soluções em área restrita no SharePoint 2010
Instalando, desinstalando e atualizando as soluções em área restrita no SharePoint 2010
Central de Recursos: o que há de novo no Microsoft SharePoint Server 2010