Configurare il supporto dell'identità gestita in un cluster di Service Fabric esistente
Per usare le identità gestite per le risorse di Azure nelle applicazioni di Service Fabric, abilitare prima di tutto il servizio token di identità gestito nel cluster. Questo servizio è responsabile dell'autenticazione delle applicazioni di Service Fabric usando le identità gestite e di ottenere i token di accesso per loro conto. Dopo aver abilitato il servizio, è possibile visualizzarlo in Service Fabric Explorer nella sezione Sistema nel riquadro sinistro, in esecuzione sotto il nome fabric:/System/ManagedIdentityTokenService.
Nota
Il runtime di Service Fabric versione 6.5.658.9590 o successiva è necessario per abilitare il servizio token di identità gestita.
È possibile trovare la versione di Service Fabric di un cluster dal portale di Azure aprendo la risorsa cluster e controllando la proprietà della versione di Service Fabric nella sezione Informazioni di base.
Se il cluster è in modalità di aggiornamento manuale , sarà prima necessario aggiornarlo alla versione 6.5.658.9590 o successiva.
Abilitare il servizio token di identità gestita in un cluster esistente
Per abilitare il servizio token di identità gestito in un cluster esistente, è necessario avviare un aggiornamento del cluster specificando due modifiche: (1) Abilitazione del servizio token di identità gestita e (2) che richiede un riavvio di ogni nodo. Aggiungere prima di tutto il frammento di codice seguente il modello di Azure Resource Manager del cluster:
"fabricSettings": [
{
"name": "ManagedIdentityTokenService",
"parameters": [
{
"name": "IsEnabled",
"value": "true"
}
]
}
]
Per rendere effettive le modifiche, sarà anche necessario modificare i criteri di aggiornamento per specificare un riavvio forzato del runtime di Service Fabric in ogni nodo man mano che l'aggiornamento procede attraverso il cluster. Questo riavvio garantisce che il servizio di sistema appena abilitato venga avviato e in esecuzione in ogni nodo. Nel frammento di codice seguente è forceRestart l'impostazione essenziale per abilitare il riavvio. Per i parametri rimanenti, usare i valori descritti di seguito o usare valori personalizzati esistenti già specificati per la risorsa cluster. Le impostazioni personalizzate per i criteri di aggiornamento dell'infrastruttura ('upgradeDescription') possono essere visualizzate da portale di Azure selezionando l'opzione 'Aggiornamenti infrastruttura' nella risorsa di Service Fabric o resources.azure.com. Le opzioni predefinite per i criteri di aggiornamento ('upgradeDescription') non sono visualizzabili da PowerShell o resources.azure.com. Per altre informazioni, vedere ClusterUpgradePolicy .
"upgradeDescription": {
"forceRestart": true,
"healthCheckRetryTimeout": "00:45:00",
"healthCheckStableDuration": "00:05:00",
"healthCheckWaitDuration": "00:05:00",
"upgradeDomainTimeout": "02:00:00",
"upgradeReplicaSetCheckTimeout": "1.00:00:00",
"upgradeTimeout": "12:00:00"
}
Nota
Al termine dell'aggiornamento, non dimenticare di eseguire il rollback dell'impostazione forceRestart per ridurre al minimo l'impatto degli aggiornamenti successivi.
Errori e risoluzione dei problemi
Se la distribuzione ha esito negativo con il messaggio seguente, significa che il cluster non è in esecuzione in una versione di Service Fabric sufficientemente elevata:
{
"code": "ParameterNotAllowed",
"message": "Section 'ManagedIdentityTokenService' and Parameter 'IsEnabled' is not allowed."
}
Passaggi successivi
- Distribuire un'applicazione di Azure Service Fabric con un'identità gestita assegnata dal sistema
- Distribuire un'applicazione di Azure Service Fabric con un'identità gestita assegnata dall'utente
- Sfruttare l'identità gestita di un'applicazione di Service Fabric dal codice del servizio
- Concedere a un'applicazione di Azure Service Fabric l'accesso ad altre risorse di Azure