Konfigurieren von Unterstützung der verwalteten Identität in einem vorhandenen Service Fabric-Cluster

  • Artikel

Um Verwaltete Identitäten für Azure-Ressourcen in Ihren Service Fabric-Anwendungen zu verwenden, aktivieren Sie zunächst den Tokendienst für verwaltete Identitäten auf dem Cluster. Dieser Dienst ist für die Authentifizierung von Service Fabric-Anwendungen anhand ihrer verwalteten Identitäten und für den Abruf von Zugriffstoken in deren Auftrag zuständig. Nachdem der Dienst aktiviert wurde, wird er im Service Fabric Explorer im Abschnitt System im linken Bereich unter dem Namen fabric:/System/ManagedIdentityTokenService angezeigt.

Hinweis

Zum Aktivieren des Tokendiensts für verwaltete Identitäten ist mindestens Version 6.5.658.9590 der Service Fabric-Runtime erforderlich.

Sie finden die Service Fabric-Version eines Clusters im Azure-Portal. Öffnen Sie dazu dort die Clusterressource, und überprüfen Sie die Eigenschaft Service Fabric-Version im Abschnitt Zusammenfassung.

Wenn sich der Cluster im manuellen Upgrademodus befindet, müssen Sie ihn zunächst auf Version 6.5.658.9590 oder höher aktualisieren.

Aktivieren des Tokendiensts für verwaltete Identitäten in einem vorhandenen Cluster

Um den Tokendienst für verwaltete Identitäten in einem vorhandenen Cluster zu aktivieren, müssen Sie ein Clusterupgrade initiieren und dabei zwei Änderungen angeben: (1) Aktivieren Sie den Tokendienst für verwaltete Identitäten, und fordern Sie (2) einen Neustart jedes einzelnen Knotens an. Fügen Sie zunächst den folgenden Codeausschnitt Ihrer Azure Resource Manager-Clustervorlage hinzu:

"fabricSettings": [
    {
        "name": "ManagedIdentityTokenService",
        "parameters": [
            {
                "name": "IsEnabled",
                "value": "true"
            }
        ]
    }
]

Damit die Änderungen wirksam werden, müssen Sie auch die Upgraderichtlinie ändern, um auf jedem Knoten einen Neustart der Service Fabric-Runtime zu erzwingen, wenn das Upgrade den Cluster durchläuft. Mit diesem Neustart wird sichergestellt, dass der neu aktivierte Systemdienst auf jedem Knoten gestartet und ausgeführt wird. Im folgenden Codeausschnitt ist forceRestart die wesentliche Einstellung, um den Neustart zu aktivieren. Verwenden Sie für die restlichen Parameter die unten beschriebenen Werte, oder verwenden Sie vorhandene benutzerdefinierte Werte, die bereits für die Clusterressource angegeben wurden. Benutzerdefinierte Einstellungen für die Fabric-Upgraderichtlinie („upgradeDescription“) können im Azure-Portal angezeigt werden, indem Sie in der Service Fabric-Ressource oder in „resources.azure.com“ die Option „Fabric-Upgrades“ auswählen. Standardoptionen für die Upgraderichtlinie („upgradeDescription“) können nicht über PowerShell oder „resources.azure.com“ angezeigt werden. Weitere Informationen finden Sie unter ClusterUpgradePolicy.

"upgradeDescription": {
    "forceRestart": true,
    "healthCheckRetryTimeout": "00:45:00",
    "healthCheckStableDuration": "00:05:00",
    "healthCheckWaitDuration": "00:05:00",
    "upgradeDomainTimeout": "02:00:00",
    "upgradeReplicaSetCheckTimeout": "1.00:00:00",
    "upgradeTimeout": "12:00:00"
}

Hinweis

Vergessen Sie nach dem erfolgreichen Abschluss des Upgrades nicht, ein Rollback für die Einstellung forceRestart auszuführen, um die Auswirkungen nachfolgender Upgrades zu minimieren.

Fehler und Troubleshooting

Wenn die Bereitstellung mit der folgenden Meldung zu einem Fehler führt, bedeutet dies, dass im Cluster eine zu niedrige Service Fabric-Version ausgeführt wird:

{
    "code": "ParameterNotAllowed",
    "message": "Section 'ManagedIdentityTokenService' and Parameter 'IsEnabled' is not allowed."
}

Nächste Schritte