Поделиться через

Управление контейнерами с помощью gMSA

  • Статья

Область применения: Windows Server 2025, Windows Server 2022, Windows Server 2019

В производственных средах часто используется оркестратор контейнеров, такой как размещенная служба Kubernetes или служба Azure Kubernetes (AKS), для развертывания и управления вашими приложениями и кластерными сервисами. Каждый оркестратор имеет собственные парадигмы управления и отвечает за принятие спецификаций учетных данных для предоставления платформе контейнеров Windows.

При оркестрации контейнеров с помощью групповых управляемых учетных записей служб (gMSAs) убедитесь, что:

  • Все узлы контейнеров, которые можно запланировать для запуска контейнеров с gMSAs, присоединены к домену
  • Узлы контейнеров имеют доступ к получению паролей для всех gMSAs, используемых контейнерами.
  • Файлы спецификаций учетных данных создаются и загружаются в оркестратор или копируются на каждый хост контейнера, в зависимости от того, как оркестратор предпочитает их обрабатывать.
  • Сети контейнеров позволяют контейнерам взаимодействовать с контроллерами домена Active Directory для получения запросов gMSA.

Использование gMSA с Kubernetes

Вы можете использовать gMSA с AKS, а также с AKS в Azure Stack HCI, которая является локальной реализацией оркестратора AKS. Дополнительные сведения об использовании gMSA с Kubernetes см. в статьях Использование gMSA в службе Azure Kubernetes Service в Windows Containers и Настройка управляемой учетной записи службы с AKS в Azure Stack HCI.

Чтобы ознакомиться с новейшими сведениями индустрии по этой возможности, см. статью Настройка gMSA для подов и контейнеров Windows.

Использование gMSA с Service Fabric

Service Fabric поддерживает запуск контейнеров Windows с использованием gMSA, если в манифесте приложения указано расположение спецификации учетных записей. Необходимо создать файл спецификации учетных данных и поместить его в подкаталог CredentialSpecs каталога данных Docker на каждом узле, чтобы Service Fabric смог найти его. Вы можете запустить командлет Get-CredentialSpec, часть модуляCredentialSpec PowerShell, чтобы проверить, находится ли спецификация учетных данных в правильном расположении.

Дополнительные сведения о настройке приложения см. в кратком руководстве по развертыванию контейнеров Windows в Service Fabric и настройке gMSA для контейнеров Windows, работающих в Service Fabric.

Использование gMSA с Docker Swarm

Чтобы использовать gMSA с контейнерами, управляемыми Docker Swarm, выполните команду docker service create с параметром --credential-spec:

docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>

Дополнительные сведения об использовании спецификаций учетных данных с службами Docker см. в примере Docker Swarm .

Связанное содержимое

Помимо оркестрации контейнеров, можно также использовать gMSAs для:

Если во время установки возникнут какие-либо проблемы, ознакомьтесь с нашим руководством по устранению неполадок для возможных решений.