使用 gMSA 管理容器
適用於:Windows Server 2025、Windows Server 2022、Windows Server 2019
在生產環境中,您通常會使用容器協調器,例如託管的 Kubernetes 服務、Azure Kubernetes Service (AKS),來部署和管理您的應用程式和叢集服務。 每個協調器都有自己的管理架構,並負責接受認證規格,以提供給 Windows 容器平臺。
當您使用群組管理服務帳戶 (gMSA) 編排容器時,請確定:
- 所有可排程執行具有 gMSA 容器的容器主機都會加入網域
- 容器主機可以存取並取得用於容器的所有 gMSA 的密碼
- 認證規格檔案會建立並上傳至協調器,或複製到每個容器主機,視協調器偏好如何處理它們而定。
- 容器網路可讓容器與Active Directory域控制器通訊,以擷取 gMSA 票證
搭配 Kubernetes 使用 gMSA
您可以使用 gMSA 搭配 AKS,也可以搭配 Azure Stack HCI 上的 AKS,這是 AKS 協調器的內部部署實作。 如需如何搭配 Kubernetes 使用 gMSA 的詳細資訊,請參閱 在 Windows 容器中使用 gMSA 和 在 Azure Stack HCI上使用 AKS 設定群組受控服務帳戶。
若要閱讀這項功能的最新產業資訊,請參閱 設定適用於 Windows Pod 和容器的 gMSA。
搭配 Service Fabric 使用 gMSA
當您在應用程式指令清單中指定認證規格位置時,Service Fabric 支援使用 gMSA 執行 Windows 容器。 您必須建立認證規格檔案,並將其放在每個主機上 Docker 資料目錄的 CredentialSpecs 子目錄中,以便 Service Fabric 找到它。 您可以執行 Get-CredentialSpec Cmdlet,這是 CredentialSpec PowerShell 模組的一部分,以確認您的認證規格是否位於正確的位置。
如需如何設定應用程式的詳細資訊,請參閱 快速入門:將 Windows 容器部署至 Service Fabric 和 設定在 Service Fabric 上執行的 Windows 容器 gMSA。
如何搭配 Docker Swarm 使用 gMSA
若要在 Docker Swarm 管理的容器中使用 gMSA,請使用帶有 --credential-spec 參數的 docker service create 命令:
docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>
如需如何搭配 Docker 服務使用認證規格的詳細資訊,請參閱 Docker Swarm 範例。
相關內容
除了協調容器之外,您也可以使用 gMSA 來執行下列工作:
如果您在安裝期間遇到任何問題,請查看我們的 疑難解答指南 以尋找可能的解決方案。