Orchestrer des conteneurs avec un compte de service administré de groupe
S’applique à : Windows Server 2022, Windows Server 2019
Dans les environnements de production, vous utiliserez souvent un orchestrateur de conteneurs, comme le service Kubernetes hébergé, Azure Kubernetes Service (AKS), pour déployer et gérer vos applications et services de cluster. Chaque orchestrateur a ses propres paradigmes de gestion et est chargé d’accepter les spécifications d’informations d’identification à fournir à la plateforme de conteneurs Windows.
Quand vous orchestrez des conteneurs avec des comptes de service administré de groupe, vérifiez les points suivants :
- Tous les hôtes de conteneur qui peuvent être planifiés pour exécuter des conteneurs avec des comptes de service administré de groupe sont joints à un domaine.
- Les hôtes de conteneur disposent d’un accès pour récupérer les mots de passe de tous les comptes de service administré de groupe que les conteneurs utilisent.
- Les fichiers de spécifications d’informations d’identification sont créés et chargés sur l’orchestrateur, ou copiés sur chaque hôte de conteneur, selon la façon dont l’orchestrateur préfère les traiter.
- Les réseaux de conteneurs permettent aux conteneurs de communiquer avec les contrôleurs de domaine Active Directory pour récupérer les tickets de compte de service administré de groupe.
Utiliser un compte de service administré de groupe (gMSA) avec Kubernetes
Vous pouvez utiliser un compte de service administré de groupe (également appelé compte gMSA) avec AKS et avec AKS sur Azure Stack HCI, qui est l’implémentation locale de l’orchestrateur AKS. Pour plus d’informations sur l’utilisation d’un compte de service administré de groupe avec Kubernetes, consultez Utiliser un compte de service administré de groupe sur Azure Kubernetes Service dans les conteneurs Windows et Configurer un compte de service administré de groupe avec AKS sur Azure Stack HCI.
Pour en savoir plus sur les dernières informations du secteur au sujet de cette fonctionnalité, consultez Configurer un compte de service administré de groupe pour les pods et conteneurs Windows.
Utiliser un compte de service administré de groupe (gMSA) avec Service Fabric
Service Fabric prend en charge l’exécution de conteneurs Windows avec un compte de service administré de groupe quand vous spécifiez l’emplacement des spécifications d’informations d’identification dans le manifeste de votre application. Vous devez créer le fichier de spécification d’informations d’identification et le placer dans le sous-répertoire CredentialSpecs du répertoire de données de Docker sur chaque hôte afin que Service Fabric puisse le localiser. Vous pouvez exécuter la cmdlet CredentialSpec, qui fait partie du module PowerShell CredentialSpec, pour vérifier si vos spécifications d’informations d’identification se trouvent à l’emplacement approprié.
Pour plus d’informations sur la configuration de votre application, consultez Démarrage rapide : déployer des conteneurs Windows sur Service Fabric et Configurer un compte de service administré de groupe pour des conteneurs Windows s’exécutant sur Service Fabric.
Comment utiliser un compte de service administré de groupe avec Docker Swarm
Pour utiliser un compte de service administré de groupe avec des conteneurs gérés par Docker Swarm, exécutez la commande docker service create avec le paramètre --credential-spec :
docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>
Pour plus d’informations sur l’utilisation des spécifications d’informations d’identification avec des services Docker, consultez Exemple de Docker Swarm.
Étapes suivantes
Outre l’orchestration de conteneurs, vous pouvez utiliser des comptes de service administré de groupe pour effectuer les opérations suivantes :
Si vous rencontrez des problèmes lors de la configuration, vous trouverez peut-être des solutions dans notre Guide de résolution des problèmes.