使用 gMSA 协调容器
适用于:Windows Server 2025、Windows Server 2022、Windows Server 2019
在生产环境中,通常使用容器业务流程协调程序(例如托管的 Kubernetes 服务、Azure Kubernetes 服务(AKS)来部署和管理应用和群集服务。 每个业务流程协调程序都有自己的管理范例,并负责接受凭据规格以提供给 Windows 容器平台。
使用组托管服务帐户 (gMSA) 协调容器时,请确保做到以下几点:
- 可以调度使用 gMSA 运行容器的所有容器主机都已加入域
- 容器主机有权检索容器使用的所有 gMSA 的密码
- 凭据规范文件已创建并上传到业务流程协调程序或复制到每个容器主机,具体取决于业务流程协调程序处理这些文件的方式。
- 容器网络允许容器与 Active Directory 域控制器通信以检索 gMSA 票证
将 gMSA 与 Kubernetes 配合使用
可以将 gMSA 与 AKS 配合使用,还可以与 Azure Stack HCI 上的 AKS 配合使用,这是 AKS 业务流程协调程序的本地实现。 有关如何将 gMSA 与 Kubernetes 配合使用的详细信息,请参阅 在 Windows 容器中的 Azure Kubernetes 服务上使用 gMSA,在 Azure Stack HCI上配置 AKS 组托管服务帐户。
若要阅读有关此功能的最新行业信息,请参阅 为 Windows Pod 和容器配置 gMSA。
将 gMSA 与 Service Fabric 配合使用
当你在应用程序清单中指定凭据规格位置时,Service Fabric 支持使用 gMSA 运行 Windows 容器。 需要创建凭据规范文件并将其放置在每个主机上 Docker 数据目录的 CredentialSpecs 子目录中,以便 Service Fabric 能够找到它。 可以运行 Get-CredentialSpec cmdlet(CredentialSpec PowerShell 模块的一部分)来验证凭据规范是否位于正确的位置。
请参阅 快速入门:将 Windows 容器部署到 Service Fabric,为 Service Fabric 上运行的 Windows 容器设置 gMSA,了解有关如何配置应用程序的详细信息。
如何将 gMSA 与 Docker Swarm 配合使用
若要在 Docker Swarm 管理的容器中使用 gMSA,请使用 --credential-spec 参数运行 docker service create 命令:
docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>
有关如何将凭据规格与 Docker 服务配合使用的详细信息,请参阅 Docker Swarm 示例。
相关内容
除了协调容器之外,还可以使用 gMSA:
如果在安装过程中遇到任何问题,请查看我们的 故障排除指南,以寻找可能的解决方案。