Einrichten gruppenverwalteter Dienstkonten für in Service Fabric ausgeführte Windows-Container

Zur Einrichtung gruppenverwalteter Dienstkonten (group Managed Service Accounts, gMSAs) wird eine Datei mit Anmeldeinformationen (credspec) auf allen Knoten im Cluster platziert. Die Datei kann mithilfe einer VM-Erweiterung auf alle Knoten kopiert werden. Die Datei vom Typ credspec muss die gMSA-Kontoinformationen enthalten. Weitere Informationen zur credspec-Datei finden Sie unter Erstellen einer Anmeldeinformationen-Spezifikation (Dienstkonten). Die Angabe von Anmeldeinformationen und das Tag Hostname werden im Anwendungsmanifest angegeben. Das Tag Hostname muss dem gMSA-Kontonamen entsprechen, unter dem der Container ausgeführt wird. Durch das Tag Hostname kann sich der Container gegenüber anderen Diensten in der Domäne mittels Kerberos-Authentifizierung authentifizieren. Der folgende Codeausschnitt zeigt ein Beispiel für die Angabe von Hostname und credspec im Anwendungsmanifest:

<Policies>
  <ContainerHostPolicies CodePackageRef="NodeService.Code" Isolation="process" Hostname="gMSAAccountName">
    <SecurityOption Value="credentialspec=file://WebApplication1.json"/>
  </ContainerHostPolicies>
</Policies>

Lesen Sie als Nächstes die folgenden Artikel:

• Bereitstellen eines Windows-Containers in Service Fabric unter Windows Server 2016
• Bereitstellen eines Docker-Containers in Service Fabric unter Linux