Configurar o suporte de identidade gerida num cluster do Service Fabric existente
Para utilizar identidades geridas para recursos do Azure nas suas aplicações do Service Fabric, ative primeiro o Serviço de Tokens de Identidade Gerida no cluster. Este serviço é responsável pela autenticação das aplicações do Service Fabric que utilizam as respetivas identidades geridas e pela obtenção de tokens de acesso em seu nome. Assim que o serviço estiver ativado, pode vê-lo no Service Fabric Explorer na secção Sistema no painel esquerdo, em execução sob o nome fabric:/System/ManagedIdentityTokenService.
Nota
A versão 6.5.658.9590 ou superior do runtime do Service Fabric é necessária para ativar o Serviço de Tokens de Identidade Gerida.
Pode encontrar a versão do Service Fabric de um cluster no portal do Azure ao abrir o recurso de cluster e verificar a propriedade versão do Service Fabric na secção Essentials.
Se o cluster estiver no Modo de atualização manual , primeiro terá de atualizá-lo para a versão 6.5.658.9590 ou posterior.
Ativar o Serviço de Tokens de Identidade Gerida num cluster existente
Para ativar o Serviço de Tokens de Identidade Gerida num cluster existente, terá de iniciar uma atualização do cluster especificando duas alterações: (1) Ativar o Serviço de Tokens de Identidade Gerida e (2) pedir um reinício de cada nó. Primeiro, adicione o fragmento seguinte ao modelo de Resource Manager do Azure do cluster:
"fabricSettings": [
{
"name": "ManagedIdentityTokenService",
"parameters": [
{
"name": "IsEnabled",
"value": "true"
}
]
}
]
Para que as alterações entrem em vigor, também terá de alterar a política de atualização para especificar um reinício forçado do runtime do Service Fabric em cada nó à medida que a atualização progride através do cluster. Este reinício garante que o serviço de sistema recém-ativado é iniciado e em execução em cada nó. No fragmento abaixo, forceRestart
encontra-se a definição essencial para ativar o reinício. Para os restantes parâmetros, utilize os valores descritos abaixo ou utilize valores personalizados existentes já especificados para o recurso de cluster. As definições personalizadas da Política de Atualização de Recursos de Infraestrutura ("upgradeDescription") podem ser visualizadas a partir de portal do Azure ao selecionar a opção "Atualizações dos Recursos de Infraestrutura" no recurso do Service Fabric ou resources.azure.com. As opções predefinidas para a política de atualização ("upgradeDescription") não são visíveis a partir do PowerShell ou resources.azure.com. Veja ClusterUpgradePolicy para obter informações adicionais.
"upgradeDescription": {
"forceRestart": true,
"healthCheckRetryTimeout": "00:45:00",
"healthCheckStableDuration": "00:05:00",
"healthCheckWaitDuration": "00:05:00",
"upgradeDomainTimeout": "02:00:00",
"upgradeReplicaSetCheckTimeout": "1.00:00:00",
"upgradeTimeout": "12:00:00"
}
Nota
Após a conclusão bem-sucedida da atualização, não se esqueça de reverter a forceRestart
definição, para minimizar o impacto das atualizações subsequentes.
Erros e resolução de problemas
Se a implementação falhar com a seguinte mensagem, significa que o cluster não está em execução numa versão do Service Fabric suficientemente elevada:
{
"code": "ParameterNotAllowed",
"message": "Section 'ManagedIdentityTokenService' and Parameter 'IsEnabled' is not allowed."
}
Passos seguintes
- Implementar uma aplicação do Azure Service Fabric com uma identidade gerida atribuída pelo sistema
- Implementar uma aplicação do Azure Service Fabric com uma identidade gerida atribuída pelo utilizador
- Tirar partido da identidade gerida de uma aplicação do Service Fabric a partir do código de serviço
- Conceder acesso a uma aplicação do Azure Service Fabric a outros recursos do Azure