Оркестрация контейнеров с помощью групповой управляемой учетной записи службы

Область применения: Windows Server 2022, Windows Server 2019

В рабочих средах вы часто будете использовать оркестратор контейнеров, например локальную службу Kubernetes (Служба Kubernetes Azure (AKS)), для развертывания и администрирования приложений и служб кластера. Каждый оркестратор имеет собственные парадигмы управления и отвечает за принятие спецификаций учетных данных, которые предоставляются платформе контейнеров Windows.

При оркестрации контейнеров с использованием групповых управляемых учетных записей служб (gMSA) убедитесь в следующем:

• все узлы контейнеров, на которых можно запланировать выполнение контейнеров с gMSA, присоединены к домену;
• у узлов контейнера есть доступ для получения паролей всех gMSA, используемых контейнерами;
• файлы спецификации учетных данных создаются и передаются в оркестратор или копируются на каждый узел контейнера в зависимости от предпочтительного метода их обработки оркестратором;
• сети контейнеров позволяют контейнерам взаимодействовать с контроллерами доменов Active Directory для получения билетов gMSA.

Использование gMSA с Kubernetes

Вы можете использовать gMSA с AKS, а также с AKS в Azure Stack HCI, которая является локальной реализацией оркестратора AKS. Дополнительные сведения об использовании gMSA с Kubernetes см. в статьях Использование gMSA в Службе Kubernetes Azure в контейнерах Windows и Настройка управляемой группой учетной записи службы с помощью AKS в Azure Stack HCI.

Актуальные сведения об этой функции см. в статье о настройке gMSA для pod и контейнеров Windows.

Использование gMSA с Service Fabric

Service Fabric поддерживает выполнение контейнеров Windows с использованием gMSA, если в манифесте приложения указано расположения спецификации учетных данных. Необходимо создать файл спецификации учетных данных и поместить его в подкаталог CredentialSpecs каталога данных Docker на каждом узле, чтобы платформа Service Fabric могла его найти. Чтобы проверить, находится ли спецификация учетных данных в правильном расположении, можно выполнить командлет Get-CredentialSpec, который входит в состав модуля PowerShell CredentialSpec.

Дополнительные сведения о настройке приложения см. в статьях Краткое руководство. Развертывание контейнеров Windows в Service Fabric и Настройка учетных записей gMSA для контейнеров Windows, запущенных в Service Fabric.

Использование gMSA с Docker Swarm

Чтобы использовать gMSA с контейнерами, под управлением Docker Swarm, воспользуйтесь командой docker service create с параметром --credential-spec.

docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>

Дополнительные сведения об использовании спецификаций учетных данных со службами Docker см. в примере Docker Swarm.

Дальнейшие действия

Учетные записи gMSA можно использовать не только для оркестрации контейнеров, но и для того, чтобы:

• настроить приложения;
• запустить контейнеры.

Если во время установки возникнут проблемы, ознакомьтесь с возможными решениями в руководстве по устранению неполадок.