Orkiestracja kontenerów przy użyciu Grupowego Zarządzanego Konta Usługowego (gMSA)

Dotyczy: Windows Server 2025, Windows Server 2022, Windows Server 2019

W środowiskach produkcyjnych często używasz orkiestratora kontenerów, takiego jak hostowana usługa Kubernetes, usługa Azure Kubernetes Service (AKS), do wdrażania aplikacji i usług klastra oraz zarządzania nimi. Każdy orkiestrator ma własne paradygmaty zarządzania i jest odpowiedzialny za akceptowanie specyfikacji poświadczeń w celu przekazania platformie kontenerów Windows.

Podczas organizowania kontenerów przy użyciu kont usług zarządzanych przez grupę (gMSAs) upewnij się, że:

• Wszystkie hosty kontenerów, które mogą być używane do uruchamiania kontenerów z gMSA, są przyłączone do domeny
• Hosty kontenerów mają dostęp do pobierania haseł dla wszystkich gMSA używanych przez kontenery
• Pliki specyfikacji poświadczeń są tworzone i przekazywane do orkiestratora lub, w zależności od tego, jak orkiestrator woli je obsłużyć, kopiowane do każdego hosta kontenera.
• Sieci kontenerów umożliwiają kontenerom komunikowanie się z kontrolerami domeny Active Directory w celu pobrania biletów gMSA

Używanie usługi gMSA z platformą Kubernetes

Możesz użyć usługi gMSA z usługą AKS, a także usługi AKS w usłudze Azure Stack HCI, która jest lokalną implementacją orkiestratora usługi AKS. Aby uzyskać więcej informacji na temat korzystania z usługi gMSA z platformą Kubernetes, zobacz Użyj gMSA w usłudze Azure Kubernetes Service na kontenerach Windows oraz Skonfiguruj konto usługi zarządzanej przez grupę z AKS w Azure Stack HCI.

Aby dowiedzieć się więcej na temat najnowszych informacji branżowych dotyczących tej funkcji, zobacz Configure gMSA for Windows pods and containers (Konfigurowanie usługi gMSA dla zasobników i kontenerów systemu Windows).

Używanie usługi gMSA z usługą Service Fabric

Usługa Service Fabric obsługuje uruchamianie kontenerów systemu Windows z gMSA, określając lokalizację specyfikacji poświadczeń w manifeście aplikacji. Należy utworzyć plik specyfikacji poświadczeń i umieścić go w CredentialSpecs podkatalogu katalogu danych platformy Docker na każdym hoście, aby usługa Service Fabric mogła go zlokalizować. Możesz uruchomić polecenie cmdlet Get-CredentialSpec, część modułu CredentialSpec programu PowerShell, aby sprawdzić, czy specyfikacja poświadczeń znajduje się w prawidłowej lokalizacji.

Zobacz Szybki start: wdrażanie kontenerów systemu Windows w usłudze Service Fabric i Konfigurowanie usługi gMSA dla kontenerów systemu Windows działających w usłudze Service Fabric, aby uzyskać więcej informacji na temat konfigurowania aplikacji.

Jak używać gMSA z Docker Swarm

Aby użyć konta gMSA z kontenerami zarządzanymi przez Docker Swarm, uruchom polecenie docker service create z parametrem --credential-spec:

docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>

Zobacz przykład Docker Swarm, aby uzyskać więcej informacji na temat używania specyfikacji poświadczeń w usługach Docker.

Powiązana zawartość

Oprócz zarządzania kontenerami można również używać kont gMSA do:

• Konfigurowanie aplikacji
• Uruchamianie kontenerów

Jeśli podczas instalacji wystąpią jakiekolwiek problemy, zapoznaj się z naszym przewodnikiem rozwiązywania problemów , aby uzyskać możliwe rozwiązania.