Felügyelt identitás hozzáadása a Service Fabric által felügyelt fürtcsomóponttípushoz
A Service Fabric által felügyelt fürtök minden csomóponttípusát egy virtuálisgép-méretezési csoport készíti el. Ahhoz, hogy a felügyelt identitások felügyelt fürtcsomóponttípussal használhatók legyenek, a rendszer hozzáad egy tulajdonságot vmManagedIdentity
a csomóponttípus-definíciókhoz, amely tartalmazza a használható identitások listáját. userAssignedIdentities
A funkció azt tükrözi, hogyan használhatók a felügyelt identitások a nem felügyelt fürtökben, például felügyelt identitás használata az Azure Key Vault virtuálisgép-méretezési csoport bővítményével.
A Service Fabric által felügyelt fürt egy csomóponttípuson felügyelt identitást használó üzembe helyezésére példaként tekintse meg ezeket a sablonokat. A példának két sablonja van:
Felügyelt identitás és szerepkör-hozzárendelés: Sablon a felügyelt identitás és a szerepkör-hozzárendelés létrehozásához, amely lehetővé teszi, hogy a Service Fabric RP hozzárendelje az identitást a felügyelt fürt virtuálisgép-méretezési csoportjához. Ezt csak egyszer kell üzembe helyezni, mielőtt a felügyelt identitást használnák a csomóponttípus-erőforráson.
Felügyelt fürt és csomópont típusa: Sablon a Service Fabric által felügyelt fürthöz és csomóponttípusú erőforrásokhoz a korábban létrehozott felügyelt identitás használatával.
Megjegyzés
Ehhez a funkcióhoz jelenleg csak a felhasználó által hozzárendelt identitások támogatottak.
Előfeltételek
Előkészületek:
- Ha nem rendelkezik Azure-előfizetéssel, első lépésként mindössze néhány perc alatt létrehozhat egy ingyenes fiókot.
- Ha a PowerShellt szeretné használni, telepítse az Azure CLI-t cli-referenciaparancsok futtatásához.
1. Identitás és szerepkör-hozzárendelés létrehozása
Felhasználó által hozzárendelt felügyelt identitás létrehozása
A felhasználó által hozzárendelt felügyelt identitások az Azure Resource Manager (ARM) sablon erőforrások szakaszában határozhatók meg az üzembe helyezéskor történő létrehozáshoz:
{
"type": "Microsoft.ManagedIdentity/userAssignedIdentities",
"name": "[parameters('userAssignedIdentityName')]",
"apiVersion": "2023-01-31",
"location": "[resourceGroup().location]"
}
vagy a PowerShell-lel hozható létre:
New-AzResourceGroup -Name <managedIdentityRGName> -Location <location>
New-AzUserAssignedIdentity -ResourceGroupName <managedIdentityRGName> -Name <userAssignedIdentityName>
Szerepkör-hozzárendelés hozzáadása a Service Fabric-erőforrás-szolgáltatóval
Adjon hozzá egy szerepkör-hozzárendelést a felügyelt identitáshoz a Service Fabric erőforrás-szolgáltató alkalmazással. Ezzel a hozzárendeléssel a Service Fabric erőforrás-szolgáltató hozzárendelheti az előző lépésben létrehozott identitást a felügyelt fürt virtuálisgép-méretezési csoportjához. Ez egy egyszeri művelet
Szolgáltatásnév lekérése a Service Fabric-erőforrás-szolgáltató alkalmazáshoz:
Login-AzAccount
Select-AzSubscription -SubscriptionId <SubId>
Get-AzADServicePrincipal -DisplayName "Azure Service Fabric Resource Provider"
Megjegyzés
Győződjön meg arról, hogy a megfelelő előfizetésben van, az egyszerű azonosító megváltozik, ha az előfizetés egy másik bérlőben van.
ServicePrincipalNames : {74cb6831-0dbb-4be1-8206-fd4df301cdc2}
ApplicationId : 74cb6831-0dbb-4be1-8206-fd4df301cdc2
ObjectType : ServicePrincipal
DisplayName : Azure Service Fabric Resource Provider
Id : 00000000-0000-0000-0000-000000000000
Használja az előző kimenet azonosítójátprincipalId néven, a szerepkördefiníció azonosítóját pedig ha szükséges, roleDefinitionId néven a sablonon vagy a PowerShell-parancson:
Szerepkördefiníció neve | Szerepkördefiníció azonosítója |
---|---|
Felügyelt identitáskezelő | f1a07417-d97a-45cb-824c-7a7467783830 |
Ez a szerepkör-hozzárendelés az erőforrások szakaszsablonjában definiálható az Egyszerű azonosító és a szerepkördefiníció azonosítója használatával:
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2022-04-01",
"name": "[parameters('vmIdentityRoleNameGuid')]",
"scope": "[concat('Microsoft.ManagedIdentity/userAssignedIdentities', '/', parameters('userAssignedIdentityName'))]",
"dependsOn": [
"[concat('Microsoft.ManagedIdentity/userAssignedIdentities/', parameters('userAssignedIdentityName'))]"
],
"properties": {
"roleDefinitionId": "[resourceId('Microsoft.Authorization/roleDefinitions', 'f1a07417-d97a-45cb-824c-7a7467783830')]",
"principalId": "<Service Fabric Resource Provider ID>"
}
}
Megjegyzés
a vmIdentityRoleNameGuid azonosítónak érvényes GUID-nak kell lennie. Ha újra üzembe helyezi ugyanazt a sablont, beleértve ezt a szerepkör-hozzárendelést is, győződjön meg arról, hogy a GUID ugyanaz, mint az eredetileg használt, vagy távolítsa el az erőforrást, amelyet csak egyszer kell létrehozni.
vagy a PowerShellen keresztül hozza létre az egyszerű azonosító és a szerepkördefiníció neve használatával:
New-AzRoleAssignment -PrincipalId "<Service Fabric Resource Provider ID>" -RoleDefinitionName "Managed Identity Operator" -Scope "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>"
Felügyelt identitás és szerepkör-hozzárendelés üzembe helyezése.
Futtassa a New-AzResourceGroupDeployment parancsmagot a felügyelt identitás létrehozásához és a szerepkör-hozzárendelés hozzáadásához:
New-AzResourceGroupDeployment -ResourceGroupName <managedIdentityRGName> -TemplateFile ".\MangedIdentityAndSfrpRoleAssignment.json" -TemplateParameterFile ".\MangedIdentityAndSfrpRoleAssignment.Parameters.json" -Verbose
2. Identitás hozzárendelése a csomóponttípus-erőforráshoz
Felügyelt identitás tulajdonságainak hozzáadása a csomóponttípus-definícióhoz
Végül adja hozzá a és userAssignedIdentities
a vmManagedIdentity
tulajdonságokat a felügyelt fürt csomóponttípus-definícióhoz az első lépésben létrehozott identitás teljes erőforrás-azonosítójával. Ügyeljen arra, hogy a 2021-05-01 vagy újabb verziót használja a apiVersion
következőhöz: .
{
"type": "Microsoft.ServiceFabric/managedClusters/nodeTypes",
"apiVersion": "2022-01-01",
"properties": {
"isPrimary": true,
"vmInstanceCount": 5,
"dataDiskSizeGB": 100,
"vmSize": "Standard_D2_v2",
"vmImagePublisher": "MicrosoftWindowsServer",
"vmImageOffer": "WindowsServer",
"vmImageSku": "2019-Datacenter",
"vmImageVersion": "latest",
"vmManagedIdentity": {
"userAssignedIdentities": [
"[parameters('userAssignedIdentityResourceId')]"
]
}
}
}
Az identitást hozzárendelő csomóponttípus-erőforrás üzembe helyezése
Futtassa a New-AzResourceGroupDeployment parancsmagot a service fabric által felügyelt fürtök sablonjának üzembe helyezéséhez, amely hozzárendeli a felügyelt identitást a csomóponttípus-erőforráshoz.
New-AzResourceGroupDeployment -ResourceGroupName <sfmcRGName> -TemplateFile ".\SfmcVmMangedIdentity.json" -TemplateParameterFile ".\SfmcVmMangedIdentity.Parameters.json" -Verbose
Az üzembe helyezés után a létrehozott felügyelt identitás hozzá lett adva a kijelölt csomóponttípus virtuálisgép-méretezési csoportjához, és a várt módon használható, akárcsak bármely nem felügyelt fürtben.
Hibaelhárítás
A szerepkör-hozzárendelés megfelelő hozzáadásának sikertelensége a következő hibával fog teljesülni az üzembe helyezés során:
Ebben az esetben győződjön meg arról, hogy a szerepkör-hozzárendelés sikeresen létrejött a "Managed Identity Operator" szerepkörrel. A szerepkör-hozzárendelés a felügyelt identitás erőforrásának hozzáférés-vezérlése alatti Azure Portal található az alább látható módon.