Containerorchestrierung mit einem gMSA

Gilt für: Windows Server 2025, Windows Server 2022, Windows Server 2019

In Produktionsumgebungen verwenden Sie häufig einen Container-Orchestrator wie den gehosteten Kubernetes-Dienst, Azure Kubernetes Service (AKS), um Ihre Apps und Clusterdienste bereitzustellen und zu verwalten. Jeder Orchestrator verfügt über eigene Verwaltungsparadigmen und ist für die Entgegennahme von Anmeldeinformationsspezifikationen verantwortlich, die an die Windows-Containerplattform weitergegeben werden.

Wenn Sie Container mit Gruppenverwalteten Dienstkonten (Group Managed Service Accounts, gMSAs) orchestrieren, stellen Sie folgendes sicher:

• Alle Containerhosts, die für die Ausführung von Containern mit gMSAs geplant werden können, sind in eine Domäne eingebunden.
• Die Containerhosts haben Zugriff auf das Abrufen der Kennwörter für alle GMSAs, die von Containern verwendet werden
• Die Anmeldespezifikationsdateien werden erstellt und entweder in den Orchestrierer hochgeladen oder auf jeden Container-Host kopiert, je nachdem, wie der Orchestrierer sie verarbeiten möchte.
• Containernetzwerke ermöglichen es den Containern, mit den Active Directory-Domänencontrollern zu kommunizieren, um gMSA-Tickets abzurufen.

Verwenden von gMSA mit Kubernetes

Sie können gMSA mit AKS und auch mit AKS auf Azure Stack HCI verwenden, was die lokale Implementierung des AKS Orchestrators ist. Weitere Informationen zur Verwendung von gMSA mit Kubernetes finden Sie unter Verwenden von gMSA für Azure Kubernetes-Dienst in Windows-Containern und Konfigurieren des gruppenverwalteten Dienstkontos mit AKS auf Azure Stack HCI.

Informationen zu den neuesten Brancheninformationen zu diesem Feature finden Sie unter Konfigurieren von gMSA für Windows-Pods und -Containern.

Verwenden von gMSA mit Service Fabric

Service Fabric unterstützt das Ausführen von Windows-Containern mit einer gMSA, wenn Sie den Speicherort der Anmeldeinformationen im Anwendungsmanifest angeben. Sie müssen die Anmeldeinformationsspezifikationsdatei erstellen und im Unterverzeichnis CredentialSpecs des Docker-Datenverzeichnisses auf jedem Host platzieren, damit Service Fabric es finden kann. Sie können das cmdlet Get-CredentialSpec, Teil des CredentialSpec PowerShell-Moduls, ausführen, um zu überprüfen, ob sich Ihre Anmeldeinformationsspezifikation am richtigen Speicherort befindet.

Weitere Informationen zum Konfigurieren Ihrer Anwendung finden Sie unter Schnellstart: Bereitstellen von Windows-Containern in Service Fabric und Einrichten von gMSA für Windows-Container, die auf Service Fabric- ausgeführt werden.

Verwendung eines gMSA mit Docker Swarm

Um eine gMSA mit Containern zu verwenden, die von Docker-Schwarm verwaltet werden, führen Sie den Docker-Dienst aus, um Befehl mit dem parameter --credential-spec zu erstellen:

docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>

Weitere Informationen zur Verwendung von Anmeldeinformationsspezifikationen mit Docker-Diensten finden Sie im Docker-Schwarmbeispiel.

Verwandte Inhalte

Zusätzlich zur Orchestrierung von Containern können Sie gMSAs auch für Folgendes verwenden:

• Konfigurieren von Apps
• Ausführen von Containern

Falls beim Einrichten Probleme auftreten, sehen Sie in unserer Fehlerbehebungsanleitung nach möglichen Lösungen.