gMSA を使用してコンテナーを調整する
適用対象: Windows Server 2022、Windows Server 2019
運用環境では、アプリやクラスター サービスをデプロイして管理する目的で、コンテナー オーケストレーター (ホストされた Kubernetes サービス、Azure Kubernetes Service (AKS) など) を使用することがよくあります。 オーケストレーターは、それぞれ独自の管理パラダイムがあり、Windows コンテナー プラットフォームに渡す資格情報の仕様を受け入れる役割を担います。
グループ管理されたサービス アカウント (gMSA) を使用してコンテナーを調整する場合、次のことを確認します。
- gMSA を使用してコンテナーを実行するようにスケジュールできるすべてのコンテナー ホストがドメインに参加している。
- コンテナー ホストに、コンテナーが使用するすべての gMSA のパスワードを取得するためのアクセス権がある。
- 資格情報の仕様ファイルが作成されており、オーケストレーターで選択される処理方法に応じて、オーケストレーターにアップロードされるか、各コンテナー ホストにコピーされている。
- コンテナー ネットワークにより、コンテナーが Active Directory ドメイン コントローラーと通信して、gMSA チケットを取得できる。
Kubernetes で gMSA を使用する
gMSA を AKS で、または AKS オーケストレーターのオンプレミスの実装である AKS on Azure Stack HCI で使用できます。 Kubernetes で gMSA を使用する方法の詳細については、「Windows コンテナーで gMSA on Azure Kubernetes Service を使用する」と「AKS on Azure Stack HCI を使用してグループ管理サービス アカウントを構成する」を参照してください。
この機能の最新の業界情報については、「Configure gMSA for Windows pods and containers」(Windows ポッドとコンテナー用に gMSA を構成する) を参照してください。
Service Fabric で gMSA を使用する
アプリケーション マニフェストで資格情報の仕様の場所を指定すると、Service Fabric により、gMSA を使用した Windows コンテナーの実行がサポートされます。 資格情報の仕様ファイルを作成し、各ホストの Docker データ ディレクトリの CredentialSpecs サブディレクトリに配置して、Service Fabric がそのファイルを見つけられるようにする必要があります。 CredentialSpec PowerShell モジュールの一部である Get-CredentialSpec コマンドレットを実行することにより、資格情報の仕様が正しい場所にあるかどうかを確認できます。
「クイックスタート:Service Fabric に Windows コンテナーをデプロイする」および「Service Fabric で実行されている Windows コンテナーに対して gMSA を設定する」を参照して、アプリケーションの構成方法の詳細についてご確認ください。
Docker Swarm で gMSA を使用する方法
Docker Swarm によって管理されているコンテナーで gMSA を使用するには、--credential-spec
パラメーターを指定して docker service create コマンドを実行します。
docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>
Docker サービスで資格情報の仕様を使用する方法の詳細については、Docker Swarm の例に関する記事を参照してください。
次の手順
コンテナーの調整に加えて、gMSA を使用して次のことも行えます。
セットアップ中に問題が発生した場合は、トラブルシューティング ガイドで考えられる解決策をご確認ください。