Ondersteuning voor beheerde identiteiten configureren in een bestaand Service Fabric cluster
Als u beheerde identiteiten voor Azure-resources in uw service Fabric-toepassingen wilt gebruiken, moet u eerst de service beheerde identiteits token inschakelen op het cluster. Deze service is verantwoordelijk voor de verificatie van Service Fabric toepassingen met behulp van hun beheerde identiteiten en voor het verkrijgen van toegangs tokens in hun naam. Zodra de service is ingeschakeld, kunt u deze weer geven in Service Fabric Explorer onder het gedeelte systeem in het linkerdeel venster, dat wordt uitgevoerd onder de naam Fabric:/System/ManagedIdentityTokenService.
Notitie
Service Fabric runtime versie 6.5.658.9590 of hoger is vereist om de beheerde identiteits token service in te scha kelen.
U kunt de Service Fabric versie van een cluster uit de Azure Portal vinden door de cluster bron te openen en de eigenschap service Fabric versie te controleren in de sectie Essentials .
Als het cluster zich in de hand matige upgrade modus bevindt, moet u het eerst upgraden naar 6.5.658.9590 of hoger.
Beheerde identiteits token service inschakelen in een bestaand cluster
Als u de service beheerde identiteits token in een bestaand cluster wilt inschakelen, moet u een cluster upgrade initiƫren die twee wijzigingen specificeert: (1) het inschakelen van de beheerde identiteits token service, en (2) het aanvragen van het opnieuw opstarten van elk knoop punt. Voeg eerst het volgende fragment toe uw cluster Azure Resource Manager sjabloon:
"fabricSettings": [
{
"name": "ManagedIdentityTokenService",
"parameters": [
{
"name": "IsEnabled",
"value": "true"
}
]
}
]
Om de wijzigingen van kracht te laten worden, moet u ook het upgrade beleid wijzigen om een geforceerde opnieuw op te geven van de Service Fabric runtime op elk knoop punt wanneer de upgrade wordt uitgevoerd via het cluster. Opnieuw opstarten zorgt ervoor dat de nieuw ingeschakelde systeem service wordt gestart en wordt uitgevoerd op elk knoop punt. In het onderstaande fragment forceRestart is de essentiƫle instelling voor het inschakelen van opnieuw opstarten. Voor de overige para meters gebruikt u de hieronder beschreven waarden of gebruikt u bestaande aangepaste waarden die al zijn opgegeven voor de cluster bron. Aangepaste instellingen voor Fabric-upgrade beleid (' upgradeDescription ') kunnen worden weer gegeven vanuit Azure portal door de optie infrastructuur upgrades te selecteren op de Service Fabric resource of resources.azure.com. Standaard opties voor het upgrade beleid (' upgradeDescription ') zijn niet zichtbaar vanuit Power shell of resources.azure.com. Zie ClusterUpgradePolicy voor meer informatie.
"upgradeDescription": {
"forceRestart": true,
"healthCheckRetryTimeout": "00:45:00",
"healthCheckStableDuration": "00:05:00",
"healthCheckWaitDuration": "00:05:00",
"upgradeDomainTimeout": "02:00:00",
"upgradeReplicaSetCheckTimeout": "1.00:00:00",
"upgradeTimeout": "12:00:00"
}
Notitie
Wanneer de upgrade is voltooid, vergeet dan niet om de instelling terug te draaien forceRestart om de impact van de volgende upgrades te minimaliseren.
Fouten en probleemoplossing
Als de implementatie mislukt met het volgende bericht, betekent dit dat het cluster niet wordt uitgevoerd op een hoge voldoende Service Fabric-versie:
{
"code": "ParameterNotAllowed",
"message": "Section 'ManagedIdentityTokenService' and Parameter 'IsEnabled' is not allowed."
}
Volgende stappen
- Een Azure Service Fabric-toepassing implementeren met een door het systeem toegewezen beheerde identiteit
- Een Azure Service Fabric-toepassing implementeren met een door de gebruiker toegewezen beheerde identiteit
- Maak gebruik van de beheerde identiteit van een Service Fabric toepassing vanuit service code
- Een Azure Service Fabric-toepassing toegang verlenen tot andere Azure-resources