Sdílet prostřednictvím

Orchestrace kontejnerů pomocí gMSA

  • Článek

Platí pro: Windows Server 2025, Windows Server 2022, Windows Server 2019

V produkčních prostředích často použijete orchestrátor kontejnerů, jako je hostovaná služba Kubernetes, Azure Kubernetes Service (AKS), k nasazení a správě aplikací a služeb clusteru. Každý orchestrátor má vlastní paradigmata správy a má na starost přijetí specifikací pověření pro platformu kontejnerů Windows.

Při orchestraci kontejnerů pomocí skupinových účtů spravované služby (gMSA) se ujistěte, že:

  • Všichni hostitelé kontejnerů, na kterých je možné naplánovat spouštění kontejnerů s gMSA, jsou připojeni k doméně.
  • Hostitelé kontejnerů mají přístup k získání hesel pro všechny gMSAs používané kontejnery.
  • Soubory specifikace přihlašovacích údajů se vytvoří a nahrají do orchestrátoru nebo se zkopírují do každého hostitele kontejneru v závislosti na tom, jak je orchestrátor preferuje.
  • Kontejnerové sítě umožňují kontejnerům komunikovat s řadiči domény služby Active Directory za účelem načtení lístků gMSA.

Použití gMSA s Kubernetes

GMSA můžete používat s AKS a také s AKS v Azure Stack HCI, což je místní implementace orchestrátoru AKS. Další informace o používání gMSA s Kubernetes najdete v tématu Použití gMSA ve službě Azure Kubernetes Service v kontejnerech Windows a Konfigurace skupinového účtu spravované služby pomocí AKS ve službě Azure Stack HCI.

Informace o nejnovějších oborových informacích o této funkci najdete v tématu Konfigurace gMSA pro pody a kontejnery Windows.

Použití gMSA se Service Fabric

Service Fabric podporuje spouštění kontejnerů Windows s gMSA, když v manifestu aplikace zadáte umístění specifikace přihlašovacích údajů. Budete muset vytvořit soubor specifikace přihlašovacích údajů a umístit do CredentialSpecs podadresář datového adresáře Dockeru na každém hostiteli, aby ho Service Fabric mohl najít. Můžete spustit rutinu Get-CredentialSpec, která je součástí modulu PowerShell CredentialSpec, a ověřit, jestli je vaše specifikace přihlašovacích údajů ve správném umístění.

Viz Rychlý start: Nasazení kontejnerů Windows do Service Fabric a Nastavení gMSA pro kontejnery Windows spuštěné v Service Fabric další informace o konfiguraci aplikace.

Jak používat gMSA s Docker Swarm

Pokud chcete použít gMSA s kontejnery spravovanými Dockerem Swarm, spusťte příkaz docker service create s parametrem --credential-spec:

docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>

Další informace o používání specifik přihlašovacích údajů se službami Dockeru najdete v příkladu Docker Swarm.

Související obsah

Kromě orchestrace kontejnerů můžete také použít gMSA k:

Pokud během instalace narazíte na nějaké problémy, zkontrolujte v našem průvodci odstraňováním potíží možná řešení.