gMSA를 사용하여 컨테이너 오케스트레이션
적용 대상: Windows Server 2025, Windows Server 2022, Windows Server 2019
프로덕션 환경에서는 호스트된 Kubernetes 서비스, AKS(Azure Kubernetes Service)와 같은 컨테이너 오케스트레이터를 사용하여 앱 및 클러스터 서비스를 배포하고 관리하는 경우가 많습니다. 각 오케스트레이터에는 고유한 관리 패러다임이 있으며 Windows 컨테이너 플랫폼에 제공할 자격 증명 사양을 수락하는 책임이 있습니다.
gMSA(그룹 관리 서비스 계정)를 사용하여 컨테이너를 오케스트레이션하는 경우 다음을 확인합니다.
- gMSA를 사용하여 컨테이너를 실행하도록 예약할 수 있는 모든 컨테이너 호스트는 도메인에 가입됩니다.
- 컨테이너 호스트는 컨테이너에서 사용하는 모든 gMSA에 대한 암호를 검색할 수 있는 액세스 권한을 갖습니다.
- 자격 증명 사양 파일은 오케스트레이터가 이를 처리하는 방법에 따라 생성되고 오케스트레이터에 업로드되거나 모든 컨테이너 호스트에 복사됩니다.
- 컨테이너 네트워크를 사용하면 컨테이너가 Active Directory 도메인 컨트롤러와 통신하여 gMSA 티켓을 검색할 수 있습니다.
Kubernetes에서 gMSA 사용
AKS 오케스트레이터의 온-프레미스 구현인 Azure Stack HCI에서 AKS와 함께 gMSA를 사용할 수 있습니다. Kubernetes에서 gMSA를 사용하는 방법에 대한 자세한 내용은 Windows Containers Azure Kubernetes Service에서 gMSA 사용 및 Azure Stack HCIAKS를 사용하여 그룹 관리 서비스 계정 구성을 참조하세요.
이 기능에 대한 최신 업계 정보를 읽으려면 Windows Pod 및 컨테이너gMSA 구성을 참조하세요.
Service Fabric에서 gMSA 사용
Service Fabric은 애플리케이션 매니페스트에서 자격 증명 사양 위치를 지정할 때 gMSA를 사용하여 Windows 컨테이너 실행을 지원합니다. 자격 증명 사양 파일을 만들고 Service Fabric에서 찾을 수 있도록 각 호스트에서 Docker 데이터 디렉터리의 하위 디렉터리를 CredentialSpecs에 배치해야 합니다. CredentialSpec PowerShell 모듈일부인 Get-CredentialSpec cmdlet을 실행하여 자격 증명 사양이 올바른 위치에 있는지 확인할 수 있습니다.
빠른 시작: Service Fabric Windows 컨테이너 배포 및 Service Fabric 실행되는 Windows 컨테이너용 gMSA 설정 애플리케이션을 구성하는 방법에 대한 자세한 내용은 참조하세요.
Docker Swarm에서 gMSA를 사용하는 방법
Docker Swarm에서 관리하는 컨테이너와 함께 gMSA를 사용하려면 --credential-spec 매개 변수를 사용하여 docker service create 명령을 실행합니다.
docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>
Docker 서비스에서 자격 증명 사양을 사용하는 방법에 대한 자세한 내용은 Docker Swarm 예제 참조하세요.
관련 콘텐츠
컨테이너 오케스트레이션 외에도 gMSA를 사용하여 다음을 수행할 수 있습니다.
설치하는 동안 문제가 발생하는 경우 문제 해결 가이드 가능한 솔루션을 확인하세요.