Orquestrar contêineres com uma gMSA

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019

Em ambientes de produção, é normal usar um orquestrador de contêineres como o serviço hospedado de Kubernetes, chamado AKS (Serviço de Kubernetes do Azure), para implantar e gerenciar aplicativos e serviços de cluster. Cada orquestrador tem seus próprios paradigmas de gerenciamento e é responsável por aceitar as especificações de credencial para fornecer à plataforma de contêiner do Windows.

Quando você estiver orquestrando contêineres com contas de serviço gerenciado de grupo (gMSAs), verifique se:

  • Todos os hosts de contêiner que podem ser agendados para executar contêineres com gMSAs são ingressados no domínio
  • Os hosts de contêiner têm acesso para recuperar as senhas de todas as gMSAs usadas por contêineres
  • Os arquivos de especificação de credencial são criados e carregados no orquestrador ou copiados para cada host de contêiner, dependendo de como o orquestrador prefere tratá-los.
  • As redes de contêiner permitem que os contêineres se comuniquem com os controladores de Domínio do Active Directory para recuperar os tíquetes de gMSA

Usar gMSA com o Kubernetes

Você pode usar uma gMSA com o AKS e com o AKS no Azure Stack HCI, que é um implementação local do orquestrador do AKS. Para obter mais informações sobre como usar uma gMSA com o Kubernetes, confira Usar gMSA no Serviço de Kubernetes do Azure em contêineres do Windows e Configurar a conta de serviço gerenciado de grupo com o AKS no Azure Stack HCI.

Para ler a respeito das últimas informações do setor sobre esse recurso, confira Configurar gMSA para pods e contêineres do Windows.

Usar gMSA com o Service Fabric

O Service Fabric dá suporte à execução de contêineres do Windows com uma gMSA quando você especifica o local de especificação de credencial no manifesto do aplicativo. Você precisará criar o arquivo de especificação de credencial e colocar no subdiretório CredentialSpecs do diretório de dados do Docker em cada host para que o Service Fabric possa localizá-lo. Você pode executar o cmdlet Get-CredentialSpec, parte do módulo CredentialSpec do PowerShell, para verificar se a sua especificação de credencial está no local correto.

Consulte o Guia de Início Rápido: Implante contêineres do Windows para Service Fabric e Configure a gMSA para contêineres do Windows em execução no Service Fabric para obter mais informações sobre como configurar seu aplicativo.

Como usar a gMSA com o Docker Swarm

Para usar uma gMSA com contêineres gerenciados pelo Docker Swarm, execute o comando docker service create com o parâmetro --credential-spec:

docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>

Consulte o exemplo do Docker Swarm para obter mais informações sobre como usar as especificações de credencial com os serviços do Docker.

Próximas etapas

Além de orquestrar os contêineres, você também pode usar as gMSAs para:

Se você tiver problemas durante a instalação, consulte nosso guia de solução de problemas para obter soluções possíveis.