Configurare il supporto delle identità gestite in un cluster di Service Fabric esistente

Per usare identità gestite per le risorse di Azure nelle applicazioni di Service Fabric, abilitare prima il servizio Token di identità gestito nel cluster. Questo servizio è responsabile dell'autenticazione delle applicazioni di Service Fabric usando le identità gestite e di ottenere i token di accesso per conto dell'utente. Dopo aver abilitato il servizio, è possibile visualizzarlo in Service Fabric Explorer nella sezione Sistema nel riquadro sinistro, in esecuzione sotto il nome fabric:/System/ManagedIdentityTokenService.

Nota

Il runtime di Service Fabric versione 6.5.658.9590 o versione successiva è necessario per abilitare il servizio token di identità gestita.

È possibile trovare la versione di Service Fabric di un cluster dalla portale di Azure aprendo la risorsa del cluster e controllando la proprietà della versione di Service Fabric nella sezione Essentials.

Se il cluster è in modalità di aggiornamento manuale , sarà necessario aggiornarlo prima a 6.5.658.9590 o versione successiva.

Abilitare il servizio token di identità gestito in un cluster esistente

Per abilitare il servizio token di identità gestita in un cluster esistente, è necessario avviare un aggiornamento del cluster specificando due modifiche: (1) Abilitazione del servizio token di identità gestita e (2) che richiede un riavvio di ogni nodo. Aggiungere prima di tutto il frammento di codice seguente il modello di Azure Resource Manager:

"fabricSettings": [
    {
        "name": "ManagedIdentityTokenService",
        "parameters": [
            {
                "name": "IsEnabled",
                "value": "true"
            }
        ]
    }
]

Per rendere effettive le modifiche, è anche necessario modificare i criteri di aggiornamento per specificare un riavvio forzato del runtime di Service Fabric in ogni nodo perché l'aggiornamento viene eseguito tramite il cluster. Questo riavvio garantisce l'avvio e l'esecuzione del servizio di sistema appena abilitato in ogni nodo. Nel frammento di codice seguente è forceRestart l'impostazione essenziale per abilitare il riavvio. Per i parametri rimanenti, usare i valori descritti di seguito o usare valori personalizzati esistenti già specificati per la risorsa cluster. È possibile visualizzare le impostazioni personalizzate per i criteri di aggiornamento dell'infrastruttura ('upgradeDescription') da portale di Azure selezionando l'opzione "Aggiornamenti infrastruttura" nella risorsa di Service Fabric o resources.azure.com. Le opzioni predefinite per i criteri di aggiornamento ('upgradeDescription') non sono visualizzabili da PowerShell o resources.azure.com. Per altre informazioni, vedere ClusterUpgradePolicy .

"upgradeDescription": {
    "forceRestart": true,
    "healthCheckRetryTimeout": "00:45:00",
    "healthCheckStableDuration": "00:05:00",
    "healthCheckWaitDuration": "00:05:00",
    "upgradeDomainTimeout": "02:00:00",
    "upgradeReplicaSetCheckTimeout": "1.00:00:00",
    "upgradeTimeout": "12:00:00"
}

Nota

Al termine dell'aggiornamento, non dimenticare di eseguire il rollback dell'impostazione forceRestart , per ridurre al minimo l'impatto degli aggiornamenti successivi.

Errori e risoluzione dei problemi

Se la distribuzione ha esito negativo con il messaggio seguente, significa che il cluster non è in esecuzione in una versione di Service Fabric sufficiente:

{
    "code": "ParameterNotAllowed",
    "message": "Section 'ManagedIdentityTokenService' and Parameter 'IsEnabled' is not allowed."
}

Passaggi successivi

• Distribuire un'applicazione di Azure Service Fabric con un'identità gestita assegnata dal sistema
• Distribuire un'applicazione di Azure Service Fabric con un'identità gestita assegnata dall'utente
• Sfruttare l'identità gestita di un'applicazione di Service Fabric dal codice del servizio
• Concedere a un'applicazione azure Service Fabric l'accesso ad altre risorse di Azure