Оркестрация контейнеров с помощью групповой управляемой учетной записи службыOrchestrate containers with a gMSA

В рабочих средах для развертывания приложений и служб, а также управления ими часто используется оркестратор контейнеров.In production environments, you'll often use a container orchestrator to deploy and manage your apps and services. Каждый оркестратор имеет собственные парадигмы управления и отвечает за принятие спецификаций учетных данных, которые предоставляются платформе контейнеров Windows.Each orchestrator has its own management paradigms and is responsible for accepting credential specs to give to the Windows container platform.

При оркестрации контейнеров с использованием групповых управляемых учетных записей служб (gMSA) убедитесь в следующем:When you're orchestrating containers with Group Managed Service Accounts (gMSAs), make sure that:

  • все узлы контейнеров, на которых можно запланировать выполнение контейнеров с gMSA, присоединены к домену;All container hosts that can be scheduled to run containers with gMSAs are domain joined
  • у узлов контейнера есть доступ для получения паролей всех gMSA, используемых контейнерами;The container hosts have access to retrieve the passwords for all gMSAs used by containers
  • файлы спецификации учетных данных создаются и передаются в оркестратор или копируются на каждый узел контейнера в зависимости от предпочтительного метода их обработки оркестратором;The credential spec files are created and uploaded to the orchestrator or copied to every container host, depending on how the orchestrator prefers to handle them.
  • сети контейнеров позволяют контейнерам взаимодействовать с контроллерами доменов Active Directory для получения билетов gMSA.Container networks allow the containers to communicate with the Active Directory Domain Controllers to retrieve gMSA tickets

Использование gMSA с Service FabricHow to use gMSA with Service Fabric

Service Fabric поддерживает выполнение контейнеров Windows с использованием gMSA, если в манифесте приложения указано расположения спецификации учетных данных.Service Fabric supports running Windows containers with a gMSA when you specify the credential spec location in your application manifest. Необходимо создать файл спецификации учетных данных и поместить его в подкаталог CredentialSpecs каталога данных Docker на каждом узле, чтобы платформа Service Fabric могла его найти.You'll need to create the credential spec file and place in the CredentialSpecs subdirectory of the Docker data directory on each host so that Service Fabric can locate it. Чтобы проверить, находится ли спецификация учетных данных в правильном расположении, можно выполнить командлет Get-CredentialSpec, который входит в состав модуля PowerShell CredentialSpec.You can run the Get-CredentialSpec cmdlet, part of the CredentialSpec PowerShell module, to verify if your credential spec is in the correct location.

Дополнительные сведения о настройке приложения см. в статьях Краткое руководство. Развертывание контейнеров Windows в Service Fabric и Настройка учетных записей gMSA для контейнеров Windows, запущенных в Service Fabric.See Quickstart: Deploy Windows containers to Service Fabric and Set up gMSA for Windows containers running on Service Fabric for more information about how to configure your application.

Использование gMSA с Docker SwarmHow to use gMSA with Docker Swarm

Чтобы использовать gMSA с контейнерами, под управлением Docker Swarm, воспользуйтесь командой docker service create с параметром --credential-spec.To use a gMSA with containers managed by Docker Swarm, run the docker service create command with the --credential-spec parameter:

docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>

Дополнительные сведения об использовании спецификаций учетных данных со службами Docker см. в примере Docker Swarm.See the Docker Swarm example for more information about how to use credential specs with Docker services.

Использование gMSA с KubernetesHow to use gMSA with Kubernetes

Поддержка контейнеров Windows с учетными записями gMSAs реализована в виде альфа-версии компонента для Kubernetes 1.14.Support for scheduling Windows containers with gMSAs in Kubernetes is available as an alpha feature in Kubernetes 1.14. Последние сведения об этой функции и ее тестировании в дистрибутиве Kubernetes см. на странице Настройка gMSA для объектов pod и контейнеров Windows.See Configure gMSA for Windows pods and containers for the latest information about this feature and how to test it in your Kubernetes distribution.

Дальнейшие действияNext steps

Учетные записи gMSA можно использовать не только для оркестрации контейнеров, но и для того, чтобы:In addition to orchestrating containers, you can also use gMSAs to:

Если во время установки возникнут проблемы, ознакомьтесь с возможными решениями в руководстве по устранению неполадок.If you run into any issues during setup, check our troubleshooting guide for possible solutions.