Orchestrer des conteneurs avec un gMSA

S’applique à : Windows Server 2025, Windows Server 2022, Windows Server 2019

Dans les environnements de production, vous allez souvent utiliser un orchestrateur de conteneurs tel que le service Kubernetes hébergé, Azure Kubernetes Service (AKS), pour déployer et gérer vos applications et services de cluster. Chaque orchestrateur a ses propres paradigmes de gestion et est responsable de l'acceptation des spécifications de credentials à fournir à la plateforme de conteneur Windows.

Lorsque vous orchestrez des conteneurs avec des comptes de service administré de groupe (gMSA), assurez-vous que :

• Tous les hôtes de conteneur susceptibles d'exécuter des conteneurs avec des gMSA sont joints à un domaine
• Les hôtes de conteneur ont accès pour récupérer les mots de passe de tous les gMSA utilisés par les conteneurs
• Les fichiers de spécifications d’informations d’identification sont créés et chargés sur l’orchestrateur ou copiés sur chaque hôte de conteneur, selon la façon dont l’orchestrateur préfère les gérer.
• Les réseaux de conteneurs permettent aux conteneurs de communiquer avec les contrôleurs de domaine Active Directory pour récupérer des tickets gMSA

Utiliser gMSA avec Kubernetes

Vous pouvez utiliser gMSA avec AKS et avec AKS sur Azure Stack HCI, qui est l’implémentation locale de l’orchestrateur AKS. Pour plus d’informations sur l’utilisation de gMSA avec Kubernetes, consultez Utiliser gMSA sur Azure Kubernetes Service dans les conteneurs Windows et configurer un compte de service managé de groupe avec AKS sur Azure Stack HCI.

Pour prendre connaissance des informations les plus récentes sur cette fonctionnalité, veuillez consulter Configurer gMSA pour les pods et conteneurs Windows.

Utiliser gMSA avec Service Fabric

Service Fabric prend en charge l’exécution de conteneurs Windows avec un gMSA lorsque vous spécifiez l’emplacement de spécification des informations d’identification dans le manifeste de votre application. Vous devez créer le fichier de spécifications d’informations d’identification et le placer dans les CredentialSpecs sous-répertoire du répertoire de données Docker sur chaque hôte afin que Service Fabric puisse le localiser. Vous pouvez exécuter l’applet de commande Get-CredentialSpec, qui fait partie du module PowerShell CredentialSpec , pour vérifier si votre spécification de crédential est à l'emplacement approprié.

Consultez démarrage rapide : Déployer des conteneurs Windows sur Service Fabric et Configurer gMSA pour les conteneurs Windows s’exécutant sur Service Fabric pour plus d’informations sur la configuration de votre application.

Comment utiliser gMSA avec Docker Swarm

Pour utiliser un gMSA avec des conteneurs gérés par Docker Swarm, exécutez la commande docker service create avec le paramètre --credential-spec :

docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>

Consultez l’exemple Docker Swarm pour plus d’informations sur l’utilisation des spécifications d’informations d’identification avec les services Docker.

Contenu connexe

En plus d’orchestrer des conteneurs, vous pouvez également utiliser des gMSA pour :

• Configurer des applications
• Exécuter des conteneurs

Si vous rencontrez des problèmes lors de l’installation, consultez notre guide de résolution des problèmes pour connaître les solutions possibles.