Orquestación de contenedores con una gMSA

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019

En entornos de producción, a menudo se usa un orquestador de contenedores, como el servicio de Kubernetes hospedado, Azure Kubernetes Service (AKS), para implementar y administrar las aplicaciones y los servicios de clúster. Cada orquestador tiene sus propios paradigmas de administración y es responsable de aceptar las especificaciones de credenciales para entregar a la plataforma de contenedores de Windows.

Cuando estés orquestando contenedores con cuentas de servicio administradas de grupo (gMSA), asegúrate de lo siguiente:

  • Todos los hosts de contenedor que se pueden programar para ejecutar contenedores con gMSA están unidos a un dominio.
  • Los hosts de contenedor tienen acceso para recuperar las contraseñas de todas las gMSA usadas por los contenedores.
  • Los archivos de especificación de credenciales se crean y cargan en el orquestador o se copian en cada host de contenedor, en función de cómo el orquestador prefiera controlarlos.
  • Las redes de contenedores permiten que los contenedores se comuniquen con los controladores de dominio de Active Directory para recuperar los vales de gMSA.

Uso de gMSA con Kubernetes

Puede usar gMSA con AKS y también con AKS en Azure Stack HCI, que es la implementación local del orquestador de AKS. Para obtener más información sobre cómo usar gMSA con Kubernetes, consulte Uso de gMSA en Azure Kubernetes Service en contenedores de Windows y Configuración de una cuenta de servicio administrada de grupo con AKS en Azure Stack HCI.

Para leer la información más reciente del sector sobre esta característica, consulte Configurar gMSA para contenedores y pods de Windows.

Uso de gMSA con Service Fabric

Service Fabric admite la ejecución de contenedores de Windows con una gMSA al especificar la ubicación de las especificaciones de credenciales en el manifiesto de aplicación. Tendrás que crear el archivo de especificaciones de credenciales y colocarlo en el subdirectorio CredentialSpecs del directorio de datos de Docker en cada host para que Service Fabric pueda encontrarlo. Puedes ejecutar el cmdlet Get-CredentialSpec, parte del módulo CredentialSpec de PowerShell, para verificar si las especificaciones de credenciales se encuentran en la ubicación correcta.

Consulta Inicio rápido: Implementación de contenedores de Windows en Service Fabric y Configuración de gMSA para contenedores de Windows que se ejecutan en Service Fabric para obtener más información sobre cómo configurar la aplicación.

Uso de gMSA con Docker Swarm

Para usar una gMSA con contenedores administrados por Docker Swarm, ejecuta el comando docker service create con el parámetro --credential-spec:

docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>

Consulta el ejemplo de Docker Swarm para obtener más información sobre cómo usar las especificaciones de credenciales con los servicios de Docker.

Pasos siguientes

Además de la orquestación de contenedores, también puedes usar las gMSA para lo siguiente:

Si tienes problemas durante la instalación, consulta nuestra guía de solución de problemas para ver las posibles soluciones.