设置 gMSA 用于在 Service Fabric 上运行的 Windows 容器
若要设置 gMSA(组托管服务帐户),凭据规范文件 (credspec
) 会放置在群集的所有节点上。 可以在所有节点上使用 VM 扩展复制文件。 credspec
文件必须包含 gMSA 帐户信息。 有关 credspec
文件的详细信息,请参阅创建凭据规范。凭据规范和 Hostname
标记是在应用程序清单中指定的。 Hostname
标记必须匹配容器在其下运行的 gMSA 帐户名称。 Hostname
标记使容器本身能够使用 Kerberos 身份验证向域中的其他服务进行身份验证。 应用程序清单中用于指定 Hostname
和 credspec
的示例在以下代码片段中显示:
<Policies>
<ContainerHostPolicies CodePackageRef="NodeService.Code" Isolation="process" Hostname="gMSAAccountName">
<SecurityOption Value="credentialspec=file://WebApplication1.json"/>
</ContainerHostPolicies>
</Policies>
有关后续步骤,请阅读以下文章: