Orkestrera kontainrar med en gMSA

Gäller för: Windows Server 2025, Windows Server 2022, Windows Server 2019

I produktionsmiljöer använder du ofta en containerorkestrerare, till exempel den värdbaserade Kubernetes-tjänsten, Azure Kubernetes Service (AKS), för att distribuera och hantera dina appar och klustertjänster. Varje orkestrerare har sina egna hanteringsparadigm och ansvarar för att acceptera autentiseringsspecifikationer som ska ges till Windows-containerplattformen.

När du samordnar containrar med grupphanterade tjänstkonton (gMSAs) kontrollerar du att:

• Alla containervärdar som kan schemaläggas för att köra containrar med gMSA är domänanslutna
• Containervärdarna har åtkomst till att hämta lösenorden för alla gMSA:er som används av containrar
• Autentiseringsspecifikationsfilerna skapas och laddas upp till orkestreraren eller kopieras till varje containervärd, beroende på hur orkestratorn föredrar att hantera dem.
• Med containernätverk kan containrarna kommunicera med Active Directory-domänkontrollanterna för att hämta gMSA-biljetter

Använda gMSA med Kubernetes

Du kan använda gMSA med AKS och även med AKS på Azure Stack HCI, som är den lokala implementeringen av AKS-orkestratorn. Mer information om hur du använder gMSA med Kubernetes finns i Use gMSA on Azure Kubernetes Service in Windows Containers och Configure group Managed Service Account with AKS on Azure Stack HCI.

Mer information om den senaste branschinformationen om den här funktionen finns i Konfigurera gMSA för Windows-poddar och containrar.

Använda gMSA med Service Fabric

Service Fabric stöder körning av Windows-containrar med en gMSA när du anger platsen för autentiseringsspecifikationen i programmanifestet. Du måste skapa autentiseringsspecifikationsfilen och placera den i CredentialSpecs underkatalog för Docker-datakatalogen på varje värd så att Service Fabric kan hitta den. Du kan köra cmdleten Get-CredentialSpec, en del av CredentialSpec PowerShell-modulenför att kontrollera om autentiseringsspecifikationen är på rätt plats.

Se Snabbstart: Distribuera Windows-containrar till Service Fabric och Konfigurera gMSA för Windows-containrar som körs på Service Fabric för mer information om hur du konfigurerar ditt program.

Använda gMSA med Docker Swarm

Om du vill använda en gMSA med containrar som hanteras av Docker Swarm kör du kommandot docker service create med parametern --credential-spec:

docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>

Mer information om hur du använder autentiseringsspecifikationer med Docker-tjänster finns i Docker Swarm-exempel.

Relaterat innehåll

Förutom att orkestrera containrar kan du även använda gMSA:er för att:

• Konfigurera appar
• Kör containrar

Om du stöter på problem under installationen kan du läsa vår felsökningsguide för efter möjliga lösningar.