Orchestrare i contenitori con un account del servizio gestito del gruppo
Si applica a: Windows Server 2022, Windows Server 2019
Negli ambienti di produzione si userà spesso un agente di orchestrazione contenitori, ad esempio il servizio Kubernetes ospitato, servizio Azure Kubernetes (Servizio Azure Kubernetes), per distribuire e gestire le app e i servizi del cluster. Ogni agente di orchestrazione ha i propri paradigmi di gestione ed è responsabile dell'accettazione delle specifiche delle credenziali da assegnare alla piattaforma di contenitori di Windows.
Quando esegui l'orchestrazione di contenitori con account del servizio gestito del gruppo, verifica che:
- Tutti gli host contenitore che possono essere pianificati per l'esecuzione di contenitori con account del servizio gestito del gruppo siano aggiunti a un dominio
- Gli host contenitore possono accedere per recuperare le password per tutti gli account del servizio gestito del gruppo usati dai contenitori
- I file delle specifiche delle credenziali vengono creati e caricati nell'agente di orchestrazione o copiati in ogni host contenitore, a seconda del modo in cui l'agente di orchestrazione preferisce gestirli.
- Le reti dei contenitori consentono ai contenitori di comunicare con i controller di Dominio di Active Directory per recuperare i ticket dell'account del servizio gestito del gruppo
Usare gMSA con Kubernetes
È possibile usare gMSA con servizio Azure Kubernetes e anche con servizio Azure Stack HCI, ovvero l'implementazione locale dell'agente di orchestrazione del servizio Azure Kubernetes. Per altre informazioni su come usare gMSA con Kubernetes, vedere Usare gMSA in servizio Azure Kubernetes in contenitori Windows e Configurare l'account del servizio gestito del gruppo con servizio Azure Stack HCI.
Per leggere le informazioni più recenti sul settore su questa funzionalità, vedere Configurare gMSA per i pod e i contenitori di Windows.
Usare gMSA con Service Fabric
Service Fabric supporta l'esecuzione di contenitori di Windows con un account del servizio gestito del gruppo quando indichi il percorso delle specifiche delle credenziali nel manifesto dell'applicazione. Devi creare il file delle specifiche delle credenziali e posizionarlo nella sottodirectory CredentialSpecs della directory dei dati Docker in ogni host, in modo che Service Fabric possa individuarlo. Puoi eseguire il cmdlet Get-CredentialSpec, parte del modulo PowerShell CredentialSpec, per verificare se le specifiche delle credenziali si trovano nella posizione corretta.
Vedi Avvio rapido: Distribuire i contenitori di Windows in Service Fabric e Configurare un account del servizio gestito del gruppo per i contenitori di Windows in esecuzione in Service Fabric, per altre informazioni sulla configurazione dell'applicazione.
Come usare un account del servizio gestito del gruppo con lo swarm di Docker
Per usare un account del servizio gestito del gruppo con i contenitori gestiti dallo swarm di Docker, esegui il comando docker service create con il parametro --credential-spec:
docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>
Per altre informazioni su come usare le specifiche delle credenziali con i servizi docker, vedi l'esempio dello swarm di Docker.
Passaggi successivi
Oltre che per l'orchestrazione dei contenitori, puoi usare gli account del servizio gestito del gruppo per:
Per le soluzioni possibili, in caso di problemi durante l'installazione, consulta la guida alla risoluzione dei problemi.