Configurar o suporte da identidade gerida num cluster existente do Service Fabric

Para usar identidades gerenciadas para recursos do Azure em seus aplicativos do Service Fabric, primeiro habilite o Serviço de Token de Identidade Gerenciada no cluster. Esse serviço é responsável pela autenticação de aplicativos do Service Fabric usando suas identidades gerenciadas e pela obtenção de tokens de acesso em seu nome. Depois que o serviço estiver habilitado, você poderá vê-lo no Service Fabric Explorer na seção Sistema no painel esquerdo, executando sob o nome fabric:/System/ManagedIdentityTokenService.

Nota

O tempo de execução do Service Fabric versão 6.5.658.9590 ou superior é necessário para habilitar o Serviço de Token de Identidade Gerenciada.

Você pode encontrar a versão do Service Fabric de um cluster no portal do Azure abrindo o recurso de cluster e verificando a propriedade da versão do Service Fabric na seção Essentials.

Se o cluster estiver no modo de atualização manual , você precisará primeiro atualizá-lo para 6.5.658.9590 ou posterior.

Habilitar o Serviço de Token de Identidade Gerenciado em um cluster existente

Para habilitar o Serviço de Token de Identidade Gerenciada em um cluster existente, você precisará iniciar uma atualização de cluster especificando duas alterações: (1) Habilitando o Serviço de Token de Identidade Gerenciada e (2) solicitando uma reinicialização de cada nó. Primeiro, adicione o seguinte trecho do modelo do Azure Resource Manager do cluster:

"fabricSettings": [
    {
        "name": "ManagedIdentityTokenService",
        "parameters": [
            {
                "name": "IsEnabled",
                "value": "true"
            }
        ]
    }
]

Para que as alterações entrem em vigor, você também precisará alterar a política de atualização para especificar uma reinicialização forçada do tempo de execução do Service Fabric em cada nó à medida que a atualização progride no cluster. Essa reinicialização garante que o serviço do sistema recém-habilitado seja iniciado e executado em cada nó. No trecho abaixo, forceRestart está a configuração essencial para habilitar a reinicialização. Para os parâmetros restantes, use os valores descritos abaixo ou use valores personalizados existentes já especificados para o recurso de cluster. As configurações personalizadas da Política de Atualização de Malha ('upgradeDescription') podem ser exibidas no portal do Azure selecionando a opção 'Atualizações de Malha' no recurso ou resources.azure.com do Service Fabric. As opções padrão para a política de atualização ('upgradeDescription') não podem ser visualizadas no PowerShell ou no resources.azure.com. Consulte ClusterUpgradePolicy para obter informações adicionais.

"upgradeDescription": {
    "forceRestart": true,
    "healthCheckRetryTimeout": "00:45:00",
    "healthCheckStableDuration": "00:05:00",
    "healthCheckWaitDuration": "00:05:00",
    "upgradeDomainTimeout": "02:00:00",
    "upgradeReplicaSetCheckTimeout": "1.00:00:00",
    "upgradeTimeout": "12:00:00"
}

Nota

Após a conclusão bem-sucedida da atualização, não se esqueça de reverter a forceRestart configuração, para minimizar o impacto das atualizações subsequentes.

Erros e solução de problemas

Se a implantação falhar com a seguinte mensagem, isso significa que o cluster não está sendo executado em uma versão do Service Fabric alta o suficiente:

{
    "code": "ParameterNotAllowed",
    "message": "Section 'ManagedIdentityTokenService' and Parameter 'IsEnabled' is not allowed."
}

Próximos passos

• Implantar um aplicativo do Azure Service Fabric com uma identidade gerenciada atribuída ao sistema
• Implantar um aplicativo do Azure Service Fabric com uma identidade gerenciada atribuída pelo usuário
• Aproveite a identidade gerenciada de um aplicativo do Service Fabric a partir do código de serviço
• Conceder a um aplicativo do Azure Service Fabric acesso a outros recursos do Azure