Поделиться через


Настройка поддержки управляемых удостоверений в существующем кластере Service Fabric

Чтобы использовать управляемые удостоверения для ресурсов Azure в приложениях Service Fabric, сначала необходимо включить службу токенов управляемых удостоверений в кластере. Эта служба отвечает за проверку подлинности приложений Service Fabric с помощью их управляемых удостоверений, а также за получение токенов от их имени. Включенная служба отображается в Service Fabric Explorer в разделе Система в области слева под именем fabric:/System/ManagedIdentityTokenService.

Примечание.

Для включения службы токенов управляемых удостоверений требуется среда выполнения Service Fabric версии 6.5.658.9590 или более поздняя версия.

Версию Service Fabric в кластере можно узнать на портале Azure. Для этого откройте ресурс кластера и проверьте свойство Версия Service Fabric в разделе Основные сведения.

Если кластер обновляется вручную, необходимо обновить кластер до версии 6.5.658.9590 или более поздней.

Включение службы маркеров управляемых удостоверений в существующем кластере

Чтобы включить службу маркеров управляемых удостоверений в существующем кластере, необходимо запустить обновление кластера, указав два изменения: (1) включение службы маркеров управляемых удостоверений; (2) запрос на перезапуск каждого узла. Сначала добавьте следующий фрагмент кода в шаблон кластера Azure Resource Manager:

"fabricSettings": [
    {
        "name": "ManagedIdentityTokenService",
        "parameters": [
            {
                "name": "IsEnabled",
                "value": "true"
            }
        ]
    }
]

Чтобы изменения вступили в силу, необходимо также изменить политику обновления, и указать там принудительный перезапуск среды выполнения Service Fabric на каждом узле по мере выполнения обновления в кластере. Благодаря этой перезагрузке только что включенная системная служба будет запущена на каждом узле. В приведенном ниже фрагменте forceRestart является важнейшим параметром для включения перезагрузки. Для остальных параметров используйте приведенные ниже значения или существующие настраиваемые значения, уже указанные для ресурса кластера. Настраиваемые параметры для политики обновления Fabric (upgradeDescription) можно посмотреть на портале Azure, выбрав "Обновления Fabric" на ресурсе Service Fabric или на сайте resources.azure.com. Параметры по умолчанию для политики обновления (upgradeDescription) недоступны для просмотра в PowerShell и на сайте resources.azure.com. Дополнительные сведения см. в статье ClusterUpgradePolicy.

"upgradeDescription": {
    "forceRestart": true,
    "healthCheckRetryTimeout": "00:45:00",
    "healthCheckStableDuration": "00:05:00",
    "healthCheckWaitDuration": "00:05:00",
    "upgradeDomainTimeout": "02:00:00",
    "upgradeReplicaSetCheckTimeout": "1.00:00:00",
    "upgradeTimeout": "12:00:00"
}

Примечание.

После успешного обновления не забудьте откатить параметр forceRestart, чтобы ограничить влияние последующих обновлений.

Ошибки и устранение неполадок

Если развертывание завершится ошибкой со следующим сообщением, это означает, что используется слишком старая версия Service Fabric:

{
    "code": "ParameterNotAllowed",
    "message": "Section 'ManagedIdentityTokenService' and Parameter 'IsEnabled' is not allowed."
}

Следующие шаги