Ondersteuning voor beheerde identiteiten configureren in een bestaand Service Fabric-cluster

Als u Beheerde identiteiten voor Azure-resources in uw Service Fabric-toepassingen wilt gebruiken, schakelt u eerst de tokenservice voor beheerde identiteiten in het cluster in. Deze service is verantwoordelijk voor de verificatie van Service Fabric-toepassingen met behulp van hun beheerde identiteiten en voor het verkrijgen van toegangstokens namens hen. Zodra de service is ingeschakeld, ziet u deze in Service Fabric Explorer onder de sectie Systeem in het linkerdeelvenster, uitgevoerd onder de naam fabric:/System/ManagedIdentityTokenService.

Notitie

Service Fabric runtime versie 6.5.658.9590 of hoger is vereist om de Managed Identity Token Service in te schakelen.

U kunt de Service Fabric-versie van een cluster vinden in de Azure Portal door de clusterresource te openen en de eigenschap Service Fabric-versie te controleren in de sectie Essentials.

Als het cluster zich in de modus Handmatige upgrade bevindt, moet u het eerst upgraden naar 6.5.658.9590 of hoger.

Tokenservice voor beheerde identiteit inschakelen in een bestaand cluster

Als u de tokenservice voor beheerde identiteiten in een bestaand cluster wilt inschakelen, moet u een clusterupgrade starten met twee wijzigingen: (1) De tokenservice voor beheerde identiteit inschakelen en (2) het opnieuw opstarten van elk knooppunt aanvragen. Voeg eerst het volgende fragment toe aan de Azure Resource Manager-clustersjabloon:

"fabricSettings": [
    {
        "name": "ManagedIdentityTokenService",
        "parameters": [
            {
                "name": "IsEnabled",
                "value": "true"
            }
        ]
    }
]

Om de wijzigingen van kracht te laten worden, moet u ook het upgradebeleid wijzigen om een geforceerd opnieuw opstarten van de Service Fabric-runtime op elk knooppunt op te geven wanneer de upgrade door het cluster wordt uitgevoerd. Deze herstart zorgt ervoor dat de zojuist ingeschakelde systeemservice wordt gestart en uitgevoerd op elk knooppunt. In het onderstaande forceRestart fragment is de essentiƫle instelling om opnieuw opstarten in te schakelen. Gebruik voor de resterende parameters de waarden die hieronder worden beschreven of gebruik bestaande aangepaste waarden die al zijn opgegeven voor de clusterresource. Aangepaste instellingen voor infrastructuurupgradebeleid ('upgradeDescription') kunnen worden weergegeven vanuit Azure Portal door de optie Infrastructuurupgrades te selecteren in de Service Fabric-resource of resources.azure.com. Standaardopties voor het upgradebeleid ('upgradeDescription') kunnen niet worden weergegeven vanuit PowerShell of resources.azure.com. Zie ClusterUpgradePolicy voor meer informatie.

"upgradeDescription": {
    "forceRestart": true,
    "healthCheckRetryTimeout": "00:45:00",
    "healthCheckStableDuration": "00:05:00",
    "healthCheckWaitDuration": "00:05:00",
    "upgradeDomainTimeout": "02:00:00",
    "upgradeReplicaSetCheckTimeout": "1.00:00:00",
    "upgradeTimeout": "12:00:00"
}

Notitie

Wanneer de upgrade is voltooid, vergeet dan niet om de forceRestart instelling terug te draaien om de impact van volgende upgrades te minimaliseren.

Fouten en probleemoplossing

Als de implementatie mislukt met het volgende bericht, betekent dit dat het cluster niet wordt uitgevoerd op een Service Fabric-versie die hoog genoeg is:

{
    "code": "ParameterNotAllowed",
    "message": "Section 'ManagedIdentityTokenService' and Parameter 'IsEnabled' is not allowed."
}

Volgende stappen