Настройка поддержки управляемого удостоверения в существующем кластере Service FabricConfigure managed identity support in an existing Service Fabric cluster

Чтобы использовать управляемые удостоверения для ресурсов Azure в Service Fabric приложениях, сначала включите службу токенов управляемого удостоверения в кластере.To use Managed identities for Azure resources in your Service Fabric applications, first enable the Managed Identity Token Service on the cluster. Эта служба отвечает за проверку подлинности Service Fabric приложений с помощью их управляемых удостоверений и получение маркеров доступа от их имени.This service is responsible for the authentication of Service Fabric applications using their managed identities, and for obtaining access tokens on their behalf. После включения службы ее можно увидеть в Service Fabric Explorer в разделе System (система ) в левой области, работающей под именем Fabric:/System/манажедидентититокенсервице.Once the service is enabled, you can see it in Service Fabric Explorer under the System section in the left pane, running under the name fabric:/System/ManagedIdentityTokenService.

Примечание

Для включения службы токенов управляемого удостоверения требуется среда выполнения Service Fabric версии 6.5.658.9590 или выше.Service Fabric runtime version 6.5.658.9590 or higher is required to enable the Managed Identity Token Service.

Service Fabric версию кластера можно найти в портал Azure, открыв ресурс кластера и установив свойство версия Service Fabric в разделе основные сведения.You can find the Service Fabric version of a cluster from the Azure portal by opening the cluster resource and checking the Service Fabric version property in the Essentials section.

Если кластер находится в режиме обновления вручную , необходимо сначала обновить его до 6.5.658.9590 или более поздней версии.If the cluster is on Manual upgrade mode, you will need to first upgrade it to 6.5.658.9590 or later.

Включение управляемой службы токенов удостоверений в существующем кластереEnable Managed Identity Token Service in an existing cluster

Чтобы включить службу маркеров управляемого удостоверения в существующем кластере, необходимо запустить обновление кластера с указанием двух изменений: (1) Включение службы токенов управляемого удостоверения и (2) запрос на перезапуск каждого узла.To enable the Managed Identity Token Service in an existing cluster, you will need to initiate a cluster upgrade specifying two changes: (1) Enabling the Managed Identity Token Service, and (2) requesting a restart of each node. Сначала добавьте следующий фрагмент кода в шаблон Azure Resource Manager кластера:First, add the following snippet your cluster Azure Resource Manager template:

"fabricSettings": [
    {
        "name": "ManagedIdentityTokenService",
        "parameters": [
            {
                "name": "IsEnabled",
                "value": "true"
            }
        ]
    }
]

Чтобы изменения вступили в силу, необходимо также изменить политику обновления, чтобы указать принудительный перезапуск среды выполнения Service Fabric на каждом узле по мере выполнения обновления в кластере.In order for the changes to take effect, you will also need to change the upgrade policy to specify a forceful restart of the Service Fabric runtime on each node as the upgrade progresses through the cluster. Эта перезагрузка гарантирует, что недавно включенная системная служба будет запущена и запущена на каждом узле.This restart ensures that the newly enabled system service is started and running on each node. В приведенном ниже фрагменте forceRestart является обязательным параметром для включения перезагрузки.In the snippet below, forceRestart is the essential setting to enable restart. Для остальных параметров используйте приведенные ниже значения или используйте существующие пользовательские значения, уже указанные для ресурса кластера.For the remaining parameters, use values described below or use existing custom values already specified for the cluster resource. Пользовательские параметры для политики обновления структуры ("Упградедескриптион") можно просмотреть на портале Azure, выбрав параметр "обновления структуры" на Service Fabric ресурсе или resources.azure.com.Custom settings for Fabric Upgrade Policy ('upgradeDescription') can be viewed from Azure Portal by selecting 'Fabric Upgrades' option on the Service Fabric resource or resources.azure.com. Параметры по умолчанию для политики обновления ("Упградедескриптион") недоступны для просмотра в PowerShell или resources.azure.com.Default options for the upgrade policy ('upgradeDescription') are not viewable from powershell or resources.azure.com. Дополнительные сведения см. в разделе клустерупградеполици .See ClusterUpgradePolicy for additional information.

"upgradeDescription": {
    "forceRestart": true,
    "healthCheckRetryTimeout": "00:45:00",
    "healthCheckStableDuration": "00:05:00",
    "healthCheckWaitDuration": "00:05:00",
    "upgradeDomainTimeout": "02:00:00",
    "upgradeReplicaSetCheckTimeout": "1.00:00:00",
    "upgradeTimeout": "12:00:00"
}

Примечание

После успешного завершения обновления не забудьте выполнить откат forceRestart параметра, чтобы свести к сведению влияние последующих обновлений.Upon the successful completion of the upgrade, do not forget to roll back the forceRestart setting, to minimize the impact of subsequent upgrades.

Ошибки и устранение неполадокErrors and troubleshooting

Если развертывание завершается сбоем со следующим сообщением, это означает, что кластер не работает на достаточном уровне Service Fabric версии:If the deployment fails with the following message, it means the cluster is not running on a high enough Service Fabric version:

{
    "code": "ParameterNotAllowed",
    "message": "Section 'ManagedIdentityTokenService' and Parameter 'IsEnabled' is not allowed."
}

Дальнейшие действияNext steps