Konfigurace podpory spravované identity v existujícím clusteru Service Fabric
Pokud chcete používat spravované identity pro prostředky Azure ve vašich aplikacích Service Fabric, nejdřív v clusteru povolte službu Managed identity token . Tato služba zodpovídá za ověřování Service Fabric aplikací pomocí svých spravovaných identit a pro získání přístupových tokenů jejich jménem. Jakmile je služba povolená, můžete ji zobrazit v Service Fabric Explorer v části systém v levém podokně, která běží pod názvem Fabric:/System/ManagedIdentityTokenService.
Poznámka
Aby bylo možné povolit službu tokenu spravované identity, je nutné, aby verze modulu runtime Service Fabric 6.5.658.9590 nebo novější.
Service Fabric verzi clusteru můžete najít z Azure Portal otevřením prostředku clusteru a kontrolou vlastnosti Service Fabric verze v části Essentials .
Pokud je cluster v režimu ručního upgradu, budete ho muset nejdřív upgradovat na 6.5.658.9590 nebo novější.
Povolení služby spravovaného tokenu identity v existujícím clusteru
Chcete-li povolit službu spravovaných tokenů identity v existujícím clusteru, bude nutné zahájit upgrade clusteru s určením dvou změn: (1) povolení služby spravovaného tokenu identity a (2) požadavky na restartování každého uzlu. Nejdřív přidejte následující fragment kódu, který Azure Resource Manager šablona clusteru:
"fabricSettings": [
{
"name": "ManagedIdentityTokenService",
"parameters": [
{
"name": "IsEnabled",
"value": "true"
}
]
}
]
Aby se změny projevily, budete také muset změnit zásadu upgradu, aby určovala vynucené restartování Service Fabric modulu runtime na každém uzlu, protože upgrade probíhají prostřednictvím clusteru. Tento restart zajistí, že se nově povolená systémová služba spustí a spustí na každém uzlu. V následujícím fragmentu kódu forceRestart je základní nastavení pro povolení restartu. Pro zbývající parametry použijte hodnoty popsané níže nebo použijte existující vlastní hodnoty, které už jsou pro prostředek clusteru zadané. Vlastní nastavení zásad upgradu prostředků infrastruktury (upgradeDescription) se dají zobrazit na webu Azure Portal výběrem možnosti upgrady prostředků infrastruktury na prostředku Service Fabric nebo resources.azure.com. Výchozí možnosti pro zásady upgradu (upgradeDescription) není možné zobrazit z PowerShellu ani resources.azure.com. Další informace najdete v tématu ClusterUpgradePolicy .
"upgradeDescription": {
"forceRestart": true,
"healthCheckRetryTimeout": "00:45:00",
"healthCheckStableDuration": "00:05:00",
"healthCheckWaitDuration": "00:05:00",
"upgradeDomainTimeout": "02:00:00",
"upgradeReplicaSetCheckTimeout": "1.00:00:00",
"upgradeTimeout": "12:00:00"
}
Poznámka
Po úspěšném dokončení upgradu nezapomeňte nastavení vrátit zpátky forceRestart , abyste minimalizovali dopad následných upgradů.
Chyby a řešení problémů
Pokud se nasazení nepovede s následující zprávou, znamená to, že cluster neběží na dostatečně vysokém Service Fabric verzi:
{
"code": "ParameterNotAllowed",
"message": "Section 'ManagedIdentityTokenService' and Parameter 'IsEnabled' is not allowed."
}
Další kroky
- Nasazení aplikace Azure Service Fabric se spravovanou identitou přiřazenou systémem
- Nasazení aplikace Azure Service Fabric s uživatelem přiřazenou spravovanou identitou
- Využití spravované identity Service Fabric aplikace z kódu služby
- Udělení přístupu k aplikacím Azure Service Fabric k ostatním prostředkům Azure