Configurar o suporte de identidade gerida num cluster do Service Fabric existente

Para utilizar identidades geridas para recursos do Azure nas suas aplicações do Service Fabric, ative primeiro o Serviço de Tokens de Identidade Gerida no cluster. Este serviço é responsável pela autenticação das aplicações do Service Fabric que utilizam as respetivas identidades geridas e pela obtenção de tokens de acesso em seu nome. Assim que o serviço estiver ativado, pode vê-lo no Service Fabric Explorer na secção Sistema no painel esquerdo, em execução sob o nome fabric:/System/ManagedIdentityTokenService.

Nota

A versão 6.5.658.9590 ou superior do runtime do Service Fabric é necessária para ativar o Serviço de Tokens de Identidade Gerida.

Pode encontrar a versão do Service Fabric de um cluster no portal do Azure ao abrir o recurso de cluster e verificar a propriedade versão do Service Fabric na secção Essentials.

Se o cluster estiver no Modo de atualização manual , primeiro terá de atualizá-lo para a versão 6.5.658.9590 ou posterior.

Ativar o Serviço de Tokens de Identidade Gerida num cluster existente

Para ativar o Serviço de Tokens de Identidade Gerida num cluster existente, terá de iniciar uma atualização do cluster especificando duas alterações: (1) Ativar o Serviço de Tokens de Identidade Gerida e (2) pedir um reinício de cada nó. Primeiro, adicione o fragmento seguinte ao modelo de Resource Manager do Azure do cluster:

"fabricSettings": [
    {
        "name": "ManagedIdentityTokenService",
        "parameters": [
            {
                "name": "IsEnabled",
                "value": "true"
            }
        ]
    }
]

Para que as alterações entrem em vigor, também terá de alterar a política de atualização para especificar um reinício forçado do runtime do Service Fabric em cada nó à medida que a atualização progride através do cluster. Este reinício garante que o serviço de sistema recém-ativado é iniciado e em execução em cada nó. No fragmento abaixo, forceRestart encontra-se a definição essencial para ativar o reinício. Para os restantes parâmetros, utilize os valores descritos abaixo ou utilize valores personalizados existentes já especificados para o recurso de cluster. As definições personalizadas da Política de Atualização de Recursos de Infraestrutura ("upgradeDescription") podem ser visualizadas a partir de portal do Azure ao selecionar a opção "Atualizações dos Recursos de Infraestrutura" no recurso do Service Fabric ou resources.azure.com. As opções predefinidas para a política de atualização ("upgradeDescription") não são visíveis a partir do PowerShell ou resources.azure.com. Veja ClusterUpgradePolicy para obter informações adicionais.

"upgradeDescription": {
    "forceRestart": true,
    "healthCheckRetryTimeout": "00:45:00",
    "healthCheckStableDuration": "00:05:00",
    "healthCheckWaitDuration": "00:05:00",
    "upgradeDomainTimeout": "02:00:00",
    "upgradeReplicaSetCheckTimeout": "1.00:00:00",
    "upgradeTimeout": "12:00:00"
}

Nota

Após a conclusão bem-sucedida da atualização, não se esqueça de reverter a forceRestart definição, para minimizar o impacto das atualizações subsequentes.

Erros e resolução de problemas

Se a implementação falhar com a seguinte mensagem, significa que o cluster não está em execução numa versão do Service Fabric suficientemente elevada:

{
    "code": "ParameterNotAllowed",
    "message": "Section 'ManagedIdentityTokenService' and Parameter 'IsEnabled' is not allowed."
}

Passos seguintes

• Implementar uma aplicação do Azure Service Fabric com uma identidade gerida atribuída pelo sistema
• Implementar uma aplicação do Azure Service Fabric com uma identidade gerida atribuída pelo utilizador
• Tirar partido da identidade gerida de uma aplicação do Service Fabric a partir do código de serviço
• Conceder acesso a uma aplicação do Azure Service Fabric a outros recursos do Azure