Containers orkestreren met een gMSA

Van toepassing op: Windows Server 2025, Windows Server 2022, Windows Server 2019

In productieomgevingen gebruikt u vaak een containerorchestrator, zoals de gehoste Kubernetes-service, Azure Kubernetes Service (AKS), om uw apps en clusterservices te implementeren en te beheren. Elke orchestrator heeft zijn eigen beheerparadigma's en is verantwoordelijk voor het accepteren van referentiespecificaties die aan het Windows-containerplatform moeten worden verstrekt.

Wanneer u containers indelen met GMSA's (Group Managed Service Accounts), moet u ervoor zorgen dat:

• Alle containerhosts die ingepland kunnen worden om containers met gMSA's uit te voeren, zijn lid van een domein.
• De containerhosts hebben toegang om de wachtwoorden op te halen voor alle gMSA's die door containers worden gebruikt
• De referentiespecificatiebestanden worden gemaakt en geüpload naar de orchestrator of gekopieerd naar elke containerhost, afhankelijk van hoe de orchestrator deze liever verwerkt.
• Met containernetwerken kunnen de containers communiceren met de Active Directory-domeincontrollers om gMSA-tickets op te halen

gMSA gebruiken met Kubernetes

U kunt gMSA gebruiken met AKS en ook met AKS in Azure Stack HCI. Dit is de on-premises implementatie van de AKS-orchestrator. Zie voor meer informatie over het gebruik van gMSA met Kubernetes gMSA gebruiken in Azure Kubernetes Service in Windows Containers en Groep Beheerd serviceaccount configureren met AKS in Azure Stack HCI.

Zie GMSA configureren voor Windows-pods en -containersvoor meer informatie over de meest recente branche-informatie over deze functie.

gMSA gebruiken met Service Fabric

Service Fabric ondersteunt het uitvoeren van Windows-containers met een gMSA wanneer u de referentiespecificatielocatie opgeeft in uw toepassingsmanifest. U moet het referentiespecificatiebestand maken en in de CredentialSpecs submap van de Docker-gegevensmap op elke host plaatsen, zodat Service Fabric het kan vinden. U kunt de cmdlet Get-CredentialSpec uitvoeren, onderdeel van de CredentialSpec PowerShell-module, om te controleren of uw referentiespecificatie zich op de juiste locatie bevindt.

Zie quickstart: Windows-containers implementeren in Service Fabric en gMSA instellen voor Windows-containers die worden uitgevoerd op Service Fabric- voor meer informatie over het configureren van uw toepassing.

GMSA gebruiken met Docker Swarm

Als u een gMSA wilt gebruiken met containers die worden beheerd door Docker Swarm, voert u de docker service opdracht uit met de parameter --credential-spec:

docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>

Zie het Docker Swarm-voorbeeld voor meer informatie over het gebruik van referentiespecificaties met Docker-services.

Verwante inhoud

Naast het organiseren van containers kunt u ook gMSA's gebruiken voor het volgende:

• apps configureren
• containers uitvoeren

Als u problemen ondervindt tijdens de installatie, raadpleegt u onze gids voor probleemoplossing voor mogelijke oplossingen.