设置 gMSA 用于在 Service Fabric 上运行的 Windows 容器

若要设置 gMSA(组托管服务帐户),凭据规范文件 (credspec) 会放置在群集的所有节点上。 可以在所有节点上使用 VM 扩展复制文件。 credspec 文件必须包含 gMSA 帐户信息。 有关 credspec 文件的详细信息,请参阅创建凭据规范。凭据规范和 Hostname 标记是在应用程序清单中指定的。 Hostname 标记必须匹配容器在其下运行的 gMSA 帐户名称。 Hostname 标记使容器本身能够使用 Kerberos 身份验证向域中的其他服务进行身份验证。 应用程序清单中用于指定 Hostnamecredspec 的示例在以下代码片段中显示:

<Policies>
  <ContainerHostPolicies CodePackageRef="NodeService.Code" Isolation="process" Hostname="gMSAAccountName">
    <SecurityOption Value="credentialspec=file://WebApplication1.json"/>
  </ContainerHostPolicies>
</Policies>

有关后续步骤,请阅读以下文章: