Ondersteuning voor beheerde identiteiten configureren in een bestaande Service Fabric-cluster

Als u beheerde identiteiten wilt gebruiken voor Azure-resources in uw Service Fabric-toepassingen, schakelt u eerst de service Managed Identity Token in het cluster in. Deze service is verantwoordelijk voor de verificatie van Service Fabric-toepassingen met behulp van hun beheerde identiteiten en voor het verkrijgen van toegangstokens namens hen. Zodra de service is ingeschakeld, ziet u deze in Service Fabric Explorer in de sectie Systeem in het linkerdeelvenster, uitgevoerd onder de naam fabric:/System/ManagedIdentityTokenService.

Notitie

Service Fabric Runtime versie 6.5.658.9590 of hoger is vereist om de Managed Identity Token Service in te schakelen.

U vindt de Service Fabric-versie van een cluster in Azure Portal door de clusterresource te openen en de eigenschap Service Fabric-versie te controleren in de sectie Essentials .

Als het cluster zich in de modus Handmatige upgrade bevindt, moet u het eerst upgraden naar 6.5.658.9590 of hoger.

Managed Identity Token Service inschakelen in een bestaand cluster

Als u de Managed Identity Token Service in een bestaand cluster wilt inschakelen, moet u een clusterupgrade initiëren met twee wijzigingen: (1) Het inschakelen van de Managed Identity Token Service en (2) het aanvragen van een herstart van elk knooppunt. Voeg eerst het volgende codefragment toe aan uw Azure Resource Manager-clustersjabloon:

"fabricSettings": [
    {
        "name": "ManagedIdentityTokenService",
        "parameters": [
            {
                "name": "IsEnabled",
                "value": "true"
            }
        ]
    }
]

Als u wilt dat de wijzigingen van kracht worden, moet u ook het upgradebeleid wijzigen om een geforceerde herstart van de Service Fabric-runtime op elk knooppunt op te geven wanneer de upgrade door het cluster verloopt. Deze herstart zorgt ervoor dat de zojuist ingeschakelde systeemservice wordt gestart en uitgevoerd op elk knooppunt. In het onderstaande forceRestart codefragment is de essentiële instelling om opnieuw opstarten in te schakelen. Gebruik voor de resterende parameters de waarden die hieronder worden beschreven of gebruik bestaande aangepaste waarden die al zijn opgegeven voor de clusterresource. Aangepaste instellingen voor fabric-upgradebeleid ('upgradeDescription') kunnen worden weergegeven in Azure Portal door de optie Fabric-upgrades te selecteren in de Service Fabric-resource of resources.azure.com. Standaardopties voor het upgradebeleid ('upgradeDescription') kunnen niet worden weergegeven vanuit PowerShell of resources.azure.com. Zie ClusterUpgradePolicy voor meer informatie.

"upgradeDescription": {
    "forceRestart": true,
    "healthCheckRetryTimeout": "00:45:00",
    "healthCheckStableDuration": "00:05:00",
    "healthCheckWaitDuration": "00:05:00",
    "upgradeDomainTimeout": "02:00:00",
    "upgradeReplicaSetCheckTimeout": "1.00:00:00",
    "upgradeTimeout": "12:00:00"
}

Notitie

Wanneer de upgrade is voltooid, vergeet u niet om de forceRestart instelling terug te draaien om de impact van volgende upgrades te minimaliseren.

Fouten en probleemoplossing

Als de implementatie mislukt met het volgende bericht, betekent dit dat het cluster niet wordt uitgevoerd op een service fabric-versie die hoog genoeg is:

{
    "code": "ParameterNotAllowed",
    "message": "Section 'ManagedIdentityTokenService' and Parameter 'IsEnabled' is not allowed."
}

Volgende stappen

• Een Azure Service Fabric-toepassing implementeren met een door het systeem toegewezen beheerde identiteit
• Een Azure Service Fabric-toepassing implementeren met een door de gebruiker toegewezen beheerde identiteit
• De beheerde identiteit van een Service Fabric-toepassing gebruiken vanuit servicecode
• Een Azure Service Fabric-toepassing toegang verlenen tot andere Azure-resources