問題描述
建立Service Fabric時,證書在整個叢集中是非常重要的部分,有著使用者身份驗證,節點之間通訊,SF升級時的身份及授權認證等功能。如果證書過期則會導致節點受到影響叢集無法正常工作。
當證書過期或吊銷後,通常出現的問題為:
- Service Fabric群集無法使用升級服務
- Service Fabric Explorer無法連線
- 節點全部停用,無法檢視到任何節點資訊
當出現以上的情況,最快的辦法為新建全新的Service Fabric叢集,這也是最高效的一種辦法。為了預防證書過期的情況傳送,有以下兩點建議:
一:在Key Vault中建立證書時候,選擇自動續訂新版本證書。
二:而如果沒有自動續訂新版本證書,則需指定維護計劃,在證書過期之前就更新證書。而Service Fabric更換安全證書的過程,首先您需要把新的證書上傳到key vault中,然後通過powershell或者模板的方式為群集新增輔助證書,然後在Portal操作切換證書。
新增輔助證書請參考:(在當前Service Fabric的資源組中匯出模板,對certificateSecondary節點進行修改)
當完成輔助證書新增後,可以在門戶中看見兩個證書,點選紅框中的...來交換主要/輔助證書。
管理SF群集證書的文件可以參考:https://docs.azure.cn/zh-cn/service-fabric/service-fabric-cluster-security-update-certs-azure