Konfigurowanie obsługi tożsamości zarządzanej w istniejącym klastrze usługi Service Fabric

Aby używać tożsamości zarządzanych dla zasobów platformy Azure w aplikacjach usługi Service Fabric, najpierw włącz usługę tokenu tożsamości zarządzanej w klastrze. Ta usługa jest odpowiedzialna za uwierzytelnianie aplikacji usługi Service Fabric przy użyciu tożsamości zarządzanych oraz uzyskiwanie tokenów dostępu w ich imieniu. Po włączeniu usługi można ją zobaczyć w narzędziu Service Fabric Explorer w sekcji System w okienku po lewej stronie, działającą pod nazwą fabric:/System/ManagedIdentityTokenService.

Uwaga

Środowisko uruchomieniowe usługi Service Fabric w wersji 6.5.658.9590 lub nowszej jest wymagane do włączenia usługi tokenu tożsamości zarządzanej.

Wersję klastra usługi Service Fabric można znaleźć w witrynie Azure Portal, otwierając zasób klastra i sprawdzając właściwość wersji usługi Service Fabric w sekcji Podstawy .

Jeśli klaster jest w trybie uaktualniania ręcznego , należy najpierw uaktualnić go do wersji 6.5.658.9590 lub nowszej.

Włączanie usługi tokenu tożsamości zarządzanej w istniejącym klastrze

Aby włączyć usługę tokenu tożsamości zarządzanej w istniejącym klastrze, należy zainicjować uaktualnienie klastra, określając dwie zmiany: (1) Włączenie usługi tokenu tożsamości zarządzanej i (2) żądanie ponownego uruchomienia każdego węzła. Najpierw dodaj następujący fragment kodu dla klastra szablon usługi Azure Resource Manager:

"fabricSettings": [
    {
        "name": "ManagedIdentityTokenService",
        "parameters": [
            {
                "name": "IsEnabled",
                "value": "true"
            }
        ]
    }
]

Aby zmiany zaczęły obowiązywać, należy również zmienić zasady uaktualniania, aby określić wymuszone ponowne uruchomienie środowiska uruchomieniowego usługi Service Fabric w każdym węźle w miarę postępu uaktualniania w klastrze. To ponowne uruchomienie gwarantuje, że nowo włączona usługa systemowa jest uruchomiona i uruchomiona w każdym węźle. W poniższym forceRestart fragmencie kodu jest niezbędne ustawienie umożliwiające ponowne uruchomienie. W przypadku pozostałych parametrów użyj wartości opisanych poniżej lub użyj istniejących wartości niestandardowych określonych już dla zasobu klastra. Ustawienia niestandardowe zasad uaktualniania sieci szkieletowej ('upgradeDescription') można wyświetlić w witrynie Azure Portal, wybierając opcję "Uaktualnienia sieci szkieletowej" w zasobie usługi Service Fabric lub resources.azure.com. Domyślne opcje zasad uaktualniania ('upgradeDescription') nie są widoczne w programie PowerShell lub resources.azure.com. Aby uzyskać dodatkowe informacje, zobacz ClusterUpgradePolicy .

"upgradeDescription": {
    "forceRestart": true,
    "healthCheckRetryTimeout": "00:45:00",
    "healthCheckStableDuration": "00:05:00",
    "healthCheckWaitDuration": "00:05:00",
    "upgradeDomainTimeout": "02:00:00",
    "upgradeReplicaSetCheckTimeout": "1.00:00:00",
    "upgradeTimeout": "12:00:00"
}

Uwaga

Po pomyślnym zakończeniu uaktualniania nie zapomnij wycofać forceRestart ustawienia, aby zminimalizować wpływ kolejnych uaktualnień.

Błędy i rozwiązywanie problemów

Jeśli wdrożenie zakończy się niepowodzeniem z następującym komunikatem, oznacza to, że klaster nie jest uruchomiony w wystarczająco dużej wersji usługi Service Fabric:

{
    "code": "ParameterNotAllowed",
    "message": "Section 'ManagedIdentityTokenService' and Parameter 'IsEnabled' is not allowed."
}

Następne kroki

• Wdrażanie aplikacji usługi Azure Service Fabric przy użyciu tożsamości zarządzanej przypisanej przez system
• Wdrażanie aplikacji usługi Azure Service Fabric przy użyciu tożsamości zarządzanej przypisanej przez użytkownika
• Korzystanie z tożsamości zarządzanej aplikacji usługi Service Fabric z kodu usługi
• Udzielanie aplikacji usługi Azure Service Fabric dostępu do innych zasobów platformy Azure