Настройка поддержки управляемых удостоверений в существующем кластере Service Fabric

Чтобы использовать в приложениях Service Fabric управляемые удостоверения для ресурсов Azure, включите в кластере службу маркеров управляемых удостоверений. Эта служба проверяет подлинность приложений Service Fabric с помощью их управляемых удостоверений, а также получает маркеры доступа от их имени. Включенная служба отображается в Service Fabric Explorer в разделе Система в области слева под именем fabric:/System/ManagedIdentityTokenService.

Примечание

Для включения службы маркеров управляемых удостоверений требуется среда выполнения Service Fabric версии 6.5.658.9590 или более поздней.

Версию Service Fabric в кластере можно узнать на портале Azure. Для этого откройте ресурс кластера и проверьте свойство Версия Service Fabric в разделе Основные сведения.

Если кластер обновляется вручную, необходимо обновить кластер до версии 6.5.658.9590 или более поздней.

Включение службы маркеров управляемых удостоверений в существующем кластере

Чтобы включить службу маркеров управляемых удостоверений в существующем кластере, необходимо запустить обновление кластера, указав два изменения: (1) включение службы маркеров управляемых удостоверений; (2) запрос на перезапуск каждого узла. Сначала добавьте следующий фрагмент кода в шаблон кластера Azure Resource Manager:

"fabricSettings": [
    {
        "name": "ManagedIdentityTokenService",
        "parameters": [
            {
                "name": "IsEnabled",
                "value": "true"
            }
        ]
    }
]

Чтобы изменения вступили в силу, необходимо также изменить политику обновления, и указать там принудительный перезапуск среды выполнения Service Fabric на каждом узле по мере выполнения обновления в кластере. Благодаря этой перезагрузке только что включенная системная служба будет запущена на каждом узле. В приведенном ниже фрагменте forceRestart является важнейшим параметром для включения перезагрузки. Для остальных параметров используйте приведенные ниже значения или существующие настраиваемые значения, уже указанные для ресурса кластера. Настраиваемые параметры для политики обновления Fabric (upgradeDescription) можно посмотреть на портале Azure, выбрав "Обновления Fabric" на ресурсе Service Fabric или на сайте resources.azure.com. Параметры по умолчанию для политики обновления (upgradeDescription) недоступны для просмотра в PowerShell и на сайте resources.azure.com. Дополнительные сведения см. в статье ClusterUpgradePolicy.

"upgradeDescription": {
    "forceRestart": true,
    "healthCheckRetryTimeout": "00:45:00",
    "healthCheckStableDuration": "00:05:00",
    "healthCheckWaitDuration": "00:05:00",
    "upgradeDomainTimeout": "02:00:00",
    "upgradeReplicaSetCheckTimeout": "1.00:00:00",
    "upgradeTimeout": "12:00:00"
}

Примечание

После успешного обновления не забудьте откатить параметр forceRestart, чтобы ограничить влияние последующих обновлений.

Ошибки и устранение неполадок

Если развертывание завершится ошибкой со следующим сообщением, это означает, что используется слишком старая версия Service Fabric:

{
    "code": "ParameterNotAllowed",
    "message": "Section 'ManagedIdentityTokenService' and Parameter 'IsEnabled' is not allowed."
}

Дальнейшие действия

• Развертывание приложения Azure Service Fabric с управляемым удостоверением, назначаемым системой
• Развертывание приложения Azure Service Fabric с управляемым удостоверением, назначаемым пользователем
• Использование управляемого удостоверения приложения Service Fabric из кода службы
• Предоставление приложению Azure Service Fabric доступа к другим ресурсам Azure