Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
若要使用托管标识部署 Service Fabric 应用程序,需通过 Azure 资源管理器部署应用程序,通常需要使用 Azure 资源管理器模板。 若要详细了解如何通过 Azure 资源管理器部署 Service Fabric 应用程序,请参阅使用 Azure 资源管理器将应用程序部署到托管群集。
注意
未部署为 Azure 资源的应用程序 不能 具有托管标识。
托管群集上的 API 版本 "2021-05-01" 支持使用托管标识部署 Service Fabric 应用程序。
此处提供了示例托管群集模板:Service Fabric 托管群集模板
Service Fabric 管理群集中的管理标识支持
使用 Azure 资源的托管标识配置 Service Fabric 应用程序并部署到群集时,它将触发 Service Fabric 托管群集上“托管标识令牌服务”的自动配置。 此服务负责使用 Service Fabric 应用程序的托管标识对这些应用程序进行身份验证,以及代表它们获取访问令牌。 启用此服务以后,即可在 Service Fabric Explorer 中左侧窗格的“系统”部分看到它,它以 fabric:/System/ManagedIdentityTokenService 名称运行。
注意
首次使用托管标识部署应用程序时,您可能会注意到由于自动群集配置更改,部署时间会有所延长。 区域性群集可能需要 15 分钟,而跨区域群集可能需要 45 分钟。 如果存在其他任何正在进行的部署,Managed Identity 配置必须等待这些部署完成后才能进行。
应用程序资源支持分配“SystemAssigned”和“UserAssigned”这两种类型,并且可以按照下面的代码片段进行分配。
{
"type": "Microsoft.ServiceFabric/managedclusters/applications",
"apiVersion": "2021-05-01",
"identity": {
"type": "SystemAssigned",
"userAssignedIdentities": {}
},
}
用户分配的标识
若要为应用程序启用用户分配的标识,请首先将类型为 userAssigned 的 identity 属性添加到应用程序资源,并包括引用的用户分配标识。 然后,在应用程序资源的 properties 节中添加 managedIdentities 节,其中包含每个用户分配标识的友好名称到 principalId 映射的列表。 有关用户分配的标识的详细信息,请参阅创建、列出或删除用户分配的托管标识。
应用程序模板
要为应用程序启用用户分配的标识,首先将类型为userAssigned的identity属性添加到应用程序资源,并包含引用的用户分配标识。然后,将一个managedIdentities对象添加到properties部分,其中包含一个将易记名称映射到每个用户分配标识的principalId的列表。
{
"apiVersion": "2021-05-01",
"type": "Microsoft.ServiceFabric/managedclusters/applications",
"name": "[concat(parameters('clusterName'), '/', parameters('applicationName'))]",
"location": "[resourceGroup().location]",
"dependsOn": [
"[parameters('applicationVersion')]",
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', parameters('userAssignedIdentityName'))]"
],
"identity": {
"type" : "userAssigned",
"userAssignedIdentities": {
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', parameters('userAssignedIdentityName'))]": {}
}
},
"properties": {
"version": "[parameters('applicationVersion')]",
"parameters": {
},
"managedIdentities": [
{
"name" : "[parameters('userAssignedIdentityName')]",
"principalId" : "[reference(resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', parameters('userAssignedIdentityName')), '2018-11-30').principalId]"
}
]
}
}
在上面的示例中,用户分配标识的资源名称用作应用程序的托管标识的易记名称。 以下示例假定实际的易记名称为“AdminUser”。
应用程序包
对于在 Azure 资源管理器模板的
managedIdentities节中定义的每个标识,请在应用程序清单的 Principals 节下添加<ManagedIdentity>标记。Name属性需与name节中定义的managedIdentities属性匹配。ApplicationManifest.xml
<Principals> <ManagedIdentities> <ManagedIdentity Name="AdminUser" /> </ManagedIdentities> </Principals>在 ServiceManifestImport 节中,为使用托管标识的服务添加 IdentityBindingPolicy。 此策略将
AdminUser标识映射到特定于服务的标识名称,该名称需在以后添加到服务清单中。ApplicationManifest.xml
<ServiceManifestImport> <Policies> <IdentityBindingPolicy ServiceIdentityRef="WebAdmin" ApplicationIdentityRef="AdminUser" /> </Policies> </ServiceManifestImport>更新服务清单,将 ManagedIdentity 添加到 Resources 节中,其名称与应用程序清单的
ServiceIdentityRef中的IdentityBindingPolicy匹配:ServiceManifest.xml
<Resources> ... <ManagedIdentities DefaultIdentity="WebAdmin"> <ManagedIdentity Name="WebAdmin" /> </ManagedIdentities> </Resources>
系统分配的托管标识
应用程序模板
若要为应用程序启用系统分配的托管标识,请将类型为 systemAssigned 的 identity 属性添加到应用程序资源,如以下示例所示:
{
"apiVersion": "2021-05-01",
"type": "Microsoft.ServiceFabric/managedclusters/applications",
"name": "[concat(parameters('clusterName'), '/', parameters('applicationName'))]",
"location": "[resourceGroup().location]",
"dependsOn": [
"[concat('Microsoft.ServiceFabric/clusters/', parameters('clusterName'), '/applicationTypes/', parameters('applicationTypeName'), '/versions/', parameters('applicationTypeVersion'))]"
],
"identity": {
"type" : "systemAssigned"
},
"properties": {
"typeName": "[parameters('applicationTypeName')]",
"typeVersion": "[parameters('applicationTypeVersion')]",
"parameters": {
}
}
}
此属性向 Azure 资源管理器、托管标识和 Service Fabric 资源提供程序分别声明:此资源应该有一个隐式 (system assigned) 托管标识。
应用程序和服务包
更新应用程序清单,在 Principals 节添加包含单个条目的 ManagedIdentity 元素,如下所示:
ApplicationManifest.xml
<Principals> <ManagedIdentities> <ManagedIdentity Name="SystemAssigned" /> </ManagedIdentities> </Principals>这会将分配给应用程序的资源标识映射到一个易于记忆的名称,从而进一步分配给构成该应用程序的服务。
在与要分配托管标识的服务对应的 ServiceManifestImport 部分中,添加 IdentityBindingPolicy 元素,如下所示:
ApplicationManifest.xml
<ServiceManifestImport> <Policies> <IdentityBindingPolicy ServiceIdentityRef="WebAdmin" ApplicationIdentityRef="SystemAssigned" /> </Policies> </ServiceManifestImport>此元素将应用程序的标识分配给服务;如果没有此分配,服务将无法访问应用程序的标识。 在上面的代码片段中,
SystemAssigned标识(保留关键字)映射到服务的定义,采用的易记名称为WebAdmin。更新服务清单,将 ManagedIdentity 元素添加到 Resources 节中,其名称与
ServiceIdentityRef设置的值匹配,该设置来自应用程序清单中的IdentityBindingPolicy定义:ServiceManifest.xml
<Resources> ... <ManagedIdentities DefaultIdentity="WebAdmin"> <ManagedIdentity Name="WebAdmin" /> </ManagedIdentities> </Resources>这是一个等效映射,等效于将标识映射到服务(如上所述),但却是从服务定义的角度来看。 在此,标识以其友好名称 (
WebAdmin) 进行引用,正如在应用程序清单中所声明的。