【Azure微服務 Service Fabric 】因證書過期導致Service Fabric集群掛掉(升級無法完成,節點不可用)
- 2020 年 10 月 22 日
- 筆記
- 【Azure微服務 Service Fabric 】, Key Vault, Service Fabric, 證書過期, 輔助證書
問題描述
創建Service Fabric時,證書在整個集群中是非常重要的部分,有著用戶身份驗證,節點之間通訊,SF升級時的身份及授權認證等功能。如果證書過期則會導致節點受到影響集群無法正常工作。
當證書過期或吊銷後,通常出現的問題為:
- Service Fabric群集無法使用升級服務
- Service Fabric Explorer無法連接
- 節點全部停用,無法查看到任何節點資訊
當出現以上的情況,最快的辦法為新建全新的Service Fabric集群,這也是最高效的一種辦法。為了預防證書過期的情況發送,有以下兩點建議:
一:在Key Vault中創建證書時候,選擇自動續訂新版本證書。
二:而如果沒有自動續訂新版本證書,則需指定維護計劃,在證書過期之前就更新證書。而Service Fabric更換安全證書的過程,首先您需要把新的證書上傳到key vault中,然後通過powershell或者模板的方式為群集添加輔助證書,然後在Portal操作切換證書。
添加輔助證書請參考:(在當前Service Fabric的資源組中導出模板,對certificateSecondary節點進行修改)
當完成輔助證書添加後,可以在門戶中看見兩個證書,點擊紅框中的…來交換主要/輔助證書。
管理SF群集證書的文檔可以參考://docs.azure.cn/zh-cn/service-fabric/service-fabric-cluster-security-update-certs-azure
