使用 gMSA 協調容器
適用于:Windows Server 2022、Windows Server 2019
在生產環境中,您通常會使用容器協調器,例如裝載的 Kubernetes 服務、Azure Kubernetes Service (AKS) ,來部署和管理您的應用程式和叢集服務。 每個協調器都有會自己的管理範例,並負責接受認證規格,以提供給 Windows 容器平台。
當您使用群組受控服務帳戶 (gMSA) 來協調容器時,請確定:
- 可以使用 gMSA 排定容器執行時間的所有容器主機皆已加入網域
- 容器主機具有存取權,可對容器使用的所有 gMSA 擷取密碼
- 認證規格檔案會隨之建立並上傳至協調器,或複製到每個容器主機 (視協調器偏好的處理方式而定)。
- 容器網路可讓容器與 Active Directory 網域控制站通訊,以取得 gMSA 票證
搭配 Kubernetes 使用 gMSA
您可以將 gMSA 與 AKS 搭配使用,也可以搭配 Azure Stack HCI 上的 AKS,這是 AKS 協調器的內部部署實作。 如需如何搭配 Kubernetes 使用 gMSA 的詳細資訊,請參閱在 Windows 容器中使用 gMSA on Azure Kubernetes Service和在 Azure Stack HCI 上使用 AKS 設定群組受控服務帳戶。
若要閱讀這項功能的最新產業資訊,請參閱 設定適用于 Windows Pod 和容器的 gMSA。
搭配 Service Fabric 使用 gMSA
當您在應用程式資訊清單中指定認證規格位置時,Service Fabric 支援以 gMSA 執行 Windows 容器。 您必須建立認證規格檔案,並將其放在每部主機上 Docker 資料目錄的 CredentialSpecs 子目錄中,以便 Service Fabric 找到該檔案。 您可以執行 Get-CredentialSpec Cmdlet (CredentialSpec PowerShell 模組 的一部分),驗證您的認證規格是否在正確的位置。
請參閱快速入門:將 Windows 容器部署至 Service Fabric 和為 Service Fabric 上執行的 Windows 容器設定 gMSA,以取得有關如何設定應用程式的詳細資訊。
如何搭配 Docker Swarm 使用 gMSA
若要搭配 Docker Swarm 所管理的容器使用 gMSA,請使用 --credential-spec 參數執行 docker service create 命令:
docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>
如需如何搭配 Docker 服務使用認證規格的詳細資訊,請參閱 Docker Swarm 範例。
接下來的步驟
除了協調容器,您也可以使用 gMSA 來執行下列動作:
如果您在設定期間遇到任何問題,請參閱我們的疑難排解指南以找到可能的解決方案。