Konfigurera stöd för hanterade identiteter i ett befintligt Service Fabric-kluster

Om du vill använda hanterade identiteter för Azure-resurser i dina Service Fabric-program aktiverar du först tjänsten hanterad identitetstoken i klustret. Den här tjänsten ansvarar för autentisering av Service Fabric-program med hjälp av deras hanterade identiteter och för att få åtkomsttoken för deras räkning. När tjänsten är aktiverad kan du se den i Service Fabric Explorer under avsnittet System i den vänstra rutan, som körs under namnet fabric:/System/ManagedIdentityTokenService.

Kommentar

Service Fabric Runtime version 6.5.658.9590 eller senare krävs för att aktivera tjänsten för hanterad identitetstoken.

Du hittar Service Fabric-versionen av ett kluster från Azure-portalen genom att öppna klusterresursen och kontrollera service fabric-versionsegenskapen i avsnittet Essentials.

Om klustret är i manuellt uppgraderingsläge måste du först uppgradera det till 6.5.658.9590 eller senare.

Aktivera tjänsten för hanterad identitetstoken i ett befintligt kluster

Om du vill aktivera tjänsten för hanterad identitetstoken i ett befintligt kluster måste du initiera en klusteruppgradering som anger två ändringar: (1) Aktivera tjänsten för hanterad identitetstoken och (2) begära en omstart av varje nod. Lägg först till följande kodfragment i azure resource manager-mallen för klustret:

"fabricSettings": [
    {
        "name": "ManagedIdentityTokenService",
        "parameters": [
            {
                "name": "IsEnabled",
                "value": "true"
            }
        ]
    }
]

För att ändringarna ska börja gälla måste du också ändra uppgraderingsprincipen för att ange en kraftfull omstart av Service Fabric-körningen på varje nod när uppgraderingen fortsätter genom klustret. Den här omstarten säkerställer att den nyligen aktiverade systemtjänsten startas och körs på varje nod. I kodfragmentet nedan forceRestart är den viktiga inställningen för att aktivera omstart. För de återstående parametrarna använder du värden som beskrivs nedan eller använder befintliga anpassade värden som redan har angetts för klusterresursen. Anpassade inställningar för Infrastrukturuppgraderingsprincip ("upgradeDescription") kan visas från Azure-portalen genom att välja alternativet Infrastrukturuppgraderingar på Service Fabric-resursen eller resources.azure.com. Standardalternativen för uppgraderingsprincipen ("upgradeDescription") kan inte visas från PowerShell eller resources.azure.com. Mer information finns i ClusterUpgradePolicy .

"upgradeDescription": {
    "forceRestart": true,
    "healthCheckRetryTimeout": "00:45:00",
    "healthCheckStableDuration": "00:05:00",
    "healthCheckWaitDuration": "00:05:00",
    "upgradeDomainTimeout": "02:00:00",
    "upgradeReplicaSetCheckTimeout": "1.00:00:00",
    "upgradeTimeout": "12:00:00"
}

Kommentar

När uppgraderingen har slutförts ska du inte glömma att återställa forceRestart inställningen för att minimera effekten av efterföljande uppgraderingar.

Fel och felsökning

Om distributionen misslyckas med följande meddelande innebär det att klustret inte körs på en tillräckligt hög Service Fabric-version:

{
    "code": "ParameterNotAllowed",
    "message": "Section 'ManagedIdentityTokenService' and Parameter 'IsEnabled' is not allowed."
}

Nästa steg

• Distribuera ett Azure Service Fabric-program med en systemtilldelad hanterad identitet
• Distribuera ett Azure Service Fabric-program med en användartilldelad hanterad identitet
• Utnyttja den hanterade identiteten för ett Service Fabric-program från tjänstkoden
• Bevilja ett Azure Service Fabric-program åtkomst till andra Azure-resurser