Přidání spravované identity do typu uzlu spravovaného clusteru Service Fabric
Každý typ uzlu ve spravovaném clusteru Service Fabric je podporován škálovací sadou virtuálních počítačů. Aby bylo možné používat spravované identity s typem uzlu spravovaného clusteru, byla do definic typů uzlů přidána vlastnost vmManagedIdentity
obsahující seznam identit, které se dají použít, userAssignedIdentities
. Funkce odráží způsob použití spravovaných identit v nespravované clustery, jako je použití spravované identity s rozšířením škálovací sady virtuálních počítačů Azure Key Vault.
Příklad nasazení spravovaného clusteru Service Fabric, které využívá spravovanou identitu na typu uzlu, najdete v těchto šablonách. Příklad obsahuje dvě šablony:
Spravovaná identita a přiřazení role: Šablona pro vytvoření spravované identity a přiřazení role umožňující poskytovateli prostředků Service Fabric přiřadit identitu ke škálovací sadě virtuálních počítačů spravovaného clusteru. Před použitím spravované identity v prostředku typu uzlu by se měl nasadit jenom jednou.
Typ spravovaného clusteru a uzlu: Šablona pro prostředky spravovaného clusteru a typu uzlu Service Fabric pomocí spravované identity vytvořené dříve.
Poznámka
Pro tuto funkci jsou v současné době podporovány pouze identity přiřazené uživatelem.
Poznámka
Informace o konfiguraci aplikací najdete v tématu Konfigurace a používání aplikací se spravovanou identitou ve spravovaném clusteru Service Fabric .
Požadavky
Než začnete:
- Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.
- Pokud máte v úmyslu používat PowerShell, nainstalujte Azure CLI a spusťte referenční příkazy rozhraní příkazového řádku.
1. Vytvoření identity a přiřazení role
Vytvoření spravované identity přiřazené uživatelem
Spravovanou identitu přiřazenou uživatelem je možné definovat v části resources šablony Azure Resource Manager (ARM) pro vytvoření při nasazení:
{
"type": "Microsoft.ManagedIdentity/userAssignedIdentities",
"name": "[parameters('userAssignedIdentityName')]",
"apiVersion": "2023-01-31",
"location": "[resourceGroup().location]"
}
nebo vytvořené prostřednictvím PowerShellu:
New-AzResourceGroup -Name <managedIdentityRGName> -Location <location>
New-AzUserAssignedIdentity -ResourceGroupName <managedIdentityRGName> -Name <userAssignedIdentityName>
Přidání přiřazení role pomocí poskytovatele prostředků Service Fabric
Přidejte přiřazení role ke spravované identitě pomocí aplikace Poskytovatele prostředků Service Fabric. Toto přiřazení umožňuje poskytovateli prostředků Service Fabric přiřadit identitu vytvořenou v předchozím kroku ke škálovací sadě virtuálních počítačů spravovaného clusteru. Jedná se o jednorázovou akci.
Získání instančního objektu pro aplikaci poskytovatele prostředků Service Fabric:
Login-AzAccount
Select-AzSubscription -SubscriptionId <SubId>
Get-AzADServicePrincipal -DisplayName "Azure Service Fabric Resource Provider"
Poznámka
Ujistěte se, že jste ve správném předplatném. ID objektu zabezpečení se změní, pokud je předplatné v jiném tenantovi.
ServicePrincipalNames : {74cb6831-0dbb-4be1-8206-fd4df301cdc2}
ApplicationId : 74cb6831-0dbb-4be1-8206-fd4df301cdc2
ObjectType : ServicePrincipal
DisplayName : Azure Service Fabric Resource Provider
Id : 00000000-0000-0000-0000-000000000000
Použijte ID předchozího výstupu jako principalId a ID definice role níže jako roleDefinitionId , pokud je to možné v šabloně nebo příkazu PowerShellu:
Název definice role | ID definice role |
---|---|
Operátor spravované identity | f1a07417-d97a-45cb-824c-7a7467783830 |
Toto přiřazení role je možné definovat v šabloně oddílu resources pomocí ID objektu zabezpečení a ID definice role:
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2022-04-01",
"name": "[parameters('vmIdentityRoleNameGuid')]",
"scope": "[concat('Microsoft.ManagedIdentity/userAssignedIdentities', '/', parameters('userAssignedIdentityName'))]",
"dependsOn": [
"[concat('Microsoft.ManagedIdentity/userAssignedIdentities/', parameters('userAssignedIdentityName'))]"
],
"properties": {
"roleDefinitionId": "[resourceId('Microsoft.Authorization/roleDefinitions', 'f1a07417-d97a-45cb-824c-7a7467783830')]",
"principalId": "<Service Fabric Resource Provider ID>"
}
}
Poznámka
vmIdentityRoleNameGuid by měl být platný identifikátor GUID. Pokud znovu nasadíte stejnou šablonu včetně tohoto přiřazení role, ujistěte se, že je identifikátor GUID stejný jako původně použitý, nebo odeberte tento prostředek, protože stačí ho vytvořit jenom jednou.
nebo vytvořené prostřednictvím PowerShellu pomocí ID objektu zabezpečení a názvu definice role:
New-AzRoleAssignment -PrincipalId "<Service Fabric Resource Provider ID>" -RoleDefinitionName "Managed Identity Operator" -Scope "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>"
Nasaďte spravovanou identitu a přiřazení role.
Spuštěním rutiny New-AzResourceGroupDeployment vytvořte spravovanou identitu a přidejte přiřazení role:
New-AzResourceGroupDeployment -ResourceGroupName <managedIdentityRGName> -TemplateFile ".\MangedIdentityAndSfrpRoleAssignment.json" -TemplateParameterFile ".\MangedIdentityAndSfrpRoleAssignment.Parameters.json" -Verbose
2. Přiřazení identity k prostředku typu uzlu
Přidání vlastností spravované identity do definice typu uzlu
Nakonec přidejte vmManagedIdentity
vlastnosti a userAssignedIdentities
do definice typu uzlu spravovaného clusteru s úplným ID prostředku identity vytvořené v prvním kroku. Nezapomeňte použít 2021-05-01 nebo novější pro apiVersion
.
{
"type": "Microsoft.ServiceFabric/managedClusters/nodeTypes",
"apiVersion": "2022-01-01",
"properties": {
"isPrimary": true,
"vmInstanceCount": 5,
"dataDiskSizeGB": 100,
"vmSize": "Standard_D2_v2",
"vmImagePublisher": "MicrosoftWindowsServer",
"vmImageOffer": "WindowsServer",
"vmImageSku": "2019-Datacenter",
"vmImageVersion": "latest",
"vmManagedIdentity": {
"userAssignedIdentities": [
"[parameters('userAssignedIdentityResourceId')]"
]
}
}
}
Nasazení prostředku typu uzlu s přiřazením identity
Spuštěním rutiny New-AzResourceGroupDeployment nasaďte šablonu spravovaných clusterů Service Fabric, která přiřadí spravovanou identitu prostředku typu uzlu.
New-AzResourceGroupDeployment -ResourceGroupName <sfmcRGName> -TemplateFile ".\SfmcVmMangedIdentity.json" -TemplateParameterFile ".\SfmcVmMangedIdentity.Parameters.json" -Verbose
Po nasazení se vytvořená spravovaná identita přidá do škálovací sady virtuálních počítačů určeného typu uzlu a dá se použít podle očekávání, stejně jako v jakémkoli nespravovaném clusteru.
Řešení potíží
K selhání správného přidání přiřazení role dojde při nasazení k následující chybě:
V takovém případě se ujistěte, že se přiřazení role úspěšně vytvořilo pomocí role Operátor spravované identity. Přiřazení role najdete na Azure Portal v rámci řízení přístupu k prostředku spravované identity, jak je znázorněno níže.
Další kroky
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro