gMSA를 사용하여 컨테이너 오케스트레이션
적용 대상: Windows Server 2022, Windows Server 2019
프로덕션 환경에서는 호스트된 Kubernetes 서비스, AKS(Azure Kubernetes Service)와 같은 컨테이너 오케스트레이터를 사용하여 앱 및 클러스터 서비스를 배포하고 관리하는 경우가 많습니다. 각 Orchestrator는 고유한 관리 패러다임을 갖고 있으며 Windows 컨테이너 플랫폼에 제공할 자격 증명 사양을 수락하는 역할을 담당합니다.
gMSA(그룹 관리 서비스 계정)를 사용하여 컨테이너를 오케스트레이션할 때 다음 사항을 확인해야 합니다.
- gMSA로 컨테이너를 실행하도록 예약할 수 있는 모든 컨테이너 호스트는 도메인에 가입되어야 합니다.
- 컨테이너 호스트는 컨테이너에서 사용하는 모든 gMSA의 암호를 검색할 수 있는 액세스 권한을 갖고 있어야 합니다.
- Orchestrator의 처리 방식에 따라 자격 증명 사양 파일이 생성되어 Orchestrator에 업로드되거나 모든 컨테이너 호스트에 복사됩니다.
- 컨테이너 네트워크는 컨테이너가 Active Directory 도메인 컨트롤러와 통신하여 gMSA 티켓을 검색할 수 있도록 허용합니다.
Kubernetes를 통해 gMSA 사용
gMSA는 AKS 외에도 AKS 오케스트레이터의 온-프레미스 구현인 Azure Stack HCI의 AKS를 통해 사용할 수 있습니다. Kubernetes에서 gMSA를 사용하는 방법에 대한 자세한 내용은 Windows 컨테이너에서 Azure Kubernetes Service 기반 gMSA 사용 및 Azure Stack HCI의 AKS를 통해 그룹 관리 서비스 계정 구성을 참조하세요.
이 기능에 대한 최신 업계 정보를 알아보려면 Windows Pod 및 컨테이너용 gMSA 구성을 참조하세요.
Service Fabric을 통해 gMSA 사용
애플리케이션 매니페스트에서 자격 증명 사양 위치를 지정할 때 Service Fabric은 gMSA로 Windows 컨테이너를 실행하는 것을 지원합니다. 자격 증명 사양 파일을 만들고 각 호스트 Docker 데이터 디렉터리의 하위 디렉터리 CredentialSpecs에 배치해야 합니다. 그래야만 Service Fabric이 파일을 찾을 수 있습니다. CredentialSpec PowerShell 모듈에 포함된 Get-CredentialSpec cmdlet을 실행하여 자격 증명 사양이 올바른 위치에 있는지 확인할 수 있습니다.
빠른 시작: Service Fabric에 Windows 컨테이너 배포 및 Service Fabric에서 실행되는 Windows 컨테이너에 대한 gMSA 설정에서 애플리케이션을 구성하는 방법에 대해 자세히 알아보세요.
Docker Swarm에서 gMSA를 사용하는 방법
Docker Swarm으로 관리되는 컨테이너에서 gMSA를 사용하려면 --credential-spec 매개 변수를 사용하여 docker service create 명령을 실행합니다.
docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>
Docker 서비스에서 자격 증명 사양을 사용하는 방법에 대한 자세한 내용은 Docker Swarm 예제를 참조하세요.
다음 단계
컨테이너 오케스트레이션 외에도, gMSAs를 사용하여 다음을 수행할 수 있습니다.
설정하는 동안 문제가 발생하면 문제 해결 지침에서 가능한 해결 방법을 확인하세요.