Service Fabric-alkalmazás üzembe helyezése rendszer által hozzárendelt felügyelt identitással

Feljegyzés

Nem támogatott az identitás engedélyezése egy olyan meglévő alkalmazáshoz, amelyet eredetileg üzembe helyeztek Az Azure-parancsmagok használatával.

Az Azure Service Fabric-alkalmazások felügyelt identitás funkciójának eléréséhez először engedélyeznie kell a managed identity token szolgáltatást a fürtön. Ez a szolgáltatás felelős a Service Fabric-alkalmazások felügyelt identitások használatával történő hitelesítéséért, valamint a hozzáférési jogkivonatok nevében történő beszerzéséért. Ha a szolgáltatás engedélyezve van, a bal oldali panel Rendszer szakaszában, a Service Fabric Explorerben láthatja, amely a háló neve alatt fut:/System/ManagedIdentityTokenService a többi rendszerszolgáltatás mellett.

Feljegyzés

A Service Fabric-alkalmazások felügyelt identitásokkal való üzembe helyezése az API-verziótól "2019-06-01-preview"kezdve támogatott. Ugyanazt az API-verziót is használhatja az alkalmazástípushoz, az alkalmazástípushoz és a szolgáltatáserőforrásokhoz. A minimálisan támogatott Service Fabric-futtatókörnyezet 6,5 CU2. Emellett a build/ csomag környezetnek a Service Fabric .NET SDK-val is rendelkeznie kell CU2 vagy annál magasabb értéken

Rendszer által hozzárendelt felügyelt identitás

Alkalmazássablon

Ha rendszer által hozzárendelt felügyelt identitással szeretné engedélyezni az alkalmazást, adja hozzá az identitástulajdonságot az alkalmazáserőforráshoz a systemAssigned típussal az alábbi példában látható módon:

    {
      "apiVersion": "2019-06-01-preview",
      "type": "Microsoft.ServiceFabric/clusters/applications",
      "name": "[concat(parameters('clusterName'), '/', parameters('applicationName'))]",
      "location": "[resourceGroup().location]",
      "dependsOn": [
        "[concat('Microsoft.ServiceFabric/clusters/', parameters('clusterName'), '/applicationTypes/', parameters('applicationTypeName'), '/versions/', parameters('applicationTypeVersion'))]"
      ],
      "identity": {
        "type" : "systemAssigned"
      },
      "properties": {
        "typeName": "[parameters('applicationTypeName')]",
        "typeVersion": "[parameters('applicationTypeVersion')]",
        "parameters": {
        }
      }
    }

Ez a tulajdonság deklarálja (az Azure Resource Manager, illetve a felügyelt identitás- és Service Fabric-erőforrás-szolgáltatók számára), hogy ennek az erőforrásnak implicit (system assigned) felügyelt identitással kell rendelkeznie.

Alkalmazás- és szolgáltatáscsomag

1. Frissítse az alkalmazásjegyzéket úgy, hogy hozzáadjon egy ManagedIdentity elemet a Principals szakaszhoz, amely egyetlen bejegyzést tartalmaz az alábbiak szerint:

   ApplicationManifest.xml

   <Principals>
     <ManagedIdentities>
       <ManagedIdentity Name="SystemAssigned" />
     </ManagedIdentities>
   </Principals>
   

   Ez leképezi az alkalmazáshoz hozzárendelt identitást egy felhasználóbarát névre, és további hozzárendelést biztosít az alkalmazást alkotó szolgáltatásokhoz.

2. A felügyelt identitáshoz rendelt szolgáltatásnak megfelelő ServiceManifestImport szakaszban adjon hozzá egy IdentityBindingPolicy elemet az alábbiak szerint:

   ApplicationManifest.xml

     <ServiceManifestImport>
       <Policies>
         <IdentityBindingPolicy ServiceIdentityRef="WebAdmin" ApplicationIdentityRef="SystemAssigned" />
       </Policies>
     </ServiceManifestImport>
   

   Ez az elem hozzárendeli az alkalmazás identitását a szolgáltatáshoz; a hozzárendelés nélkül a szolgáltatás nem fog tudni hozzáférni az alkalmazás identitásához. A fenti kódrészletben az SystemAssigned identitás (amely egy fenntartott kulcsszó) a szolgáltatás definíciójára van leképezve a rövid név WebAdminalatt.

3. Frissítse a szolgáltatásjegyzéket úgy, hogy hozzáadjon egy ManagedIdentity elemet az Erőforrások szakaszban az alkalmazásjegyzékben szereplő definícióban IdentityBindingPolicy szereplő beállítás értékének ServiceIdentityRef megfelelő névvel:

   ServiceManifest.xml

     <Resources>
       ...
       <ManagedIdentities DefaultIdentity="WebAdmin">
         <ManagedIdentity Name="WebAdmin" />
       </ManagedIdentities>
     </Resources>
   

   Ez az identitásnak a fent leírt, de a szolgáltatásdefiníció szempontjából megfelelő leképezése egy szolgáltatáshoz. Az identitásra az alkalmazásjegyzékben deklarált rövid neve (WebAdmin) hivatkozik.

Következő lépések

• Felügyelt identitás támogatásának áttekintése az Azure Service Fabricben
• Új Azure Service Fabric-fürt üzembe helyezése felügyelt identitástámogatással
• Felügyelt identitás engedélyezése egy meglévő Azure Service Fabric-fürtben
• A Service Fabric-alkalmazás felügyelt identitásának kihasználása a forráskódból
• Azure Service Fabric-alkalmazás üzembe helyezése felhasználó által hozzárendelt felügyelt identitással
• Azure Service Fabric-alkalmazás hozzáférésének biztosítása más Azure-erőforrásokhoz