適用対象: Windows Server 2025、Windows Server 2022、Windows Server 2019
運用環境では、多くの場合、ホストされている Kubernetes サービス、Azure Kubernetes Service (AKS) などのコンテナー オーケストレーターを使用して、アプリとクラスター サービスをデプロイおよび管理します。 各オーケストレーターには独自の管理パラダイムがあり、Windows コンテナー プラットフォームに提供する資格情報の仕様を受け入れる責任があります。
グループ管理サービス アカウント (gMSA) を使用してコンテナーを調整する場合は、次の点を確認します。
- gMSA を使用してコンテナーを実行するようにスケジュールできるすべてのコンテナー ホストがドメインに参加している
- コンテナー ホストは、コンテナーによって使用されるすべての gMSA のパスワードを取得するアクセス権を持っています
- 資格情報仕様ファイルは、オーケストレーターの処理方法に応じて、オーケストレーターに作成およびアップロードされるか、すべてのコンテナー ホストにコピーされます。
- コンテナー ネットワークを使用すると、コンテナーは Active Directory ドメイン コントローラーと通信して gMSA チケットを取得できます
Kubernetes で gMSA を使用する
AKS および AKS on Azure Stack HCI (AKS オーケストレーターのオンプレミス実装) でも gMSA を使用できます。 Kubernetes で gMSA を使用する方法の詳細については、「Windows コンテナー の Azure Kubernetes Service で gMSA を使用する」および「AKS on Azure Stack HCIを使用してグループ管理サービス アカウントを構成する」を参照してください。
この機能に関する最新の業界情報については、「Windows ポッドとコンテナー用に gMSA を構成する」を参照してください。
Service Fabric で gMSA を使用する
Service Fabric では、アプリケーション マニフェストで資格情報の仕様の場所を指定するときに、gMSA を使用した Windows コンテナーの実行がサポートされます。 資格情報仕様ファイルを作成し、Service Fabric で見つけられるように、各ホストの Docker データ ディレクトリの CredentialSpecs サブディレクトリに配置する必要があります。 CredentialSpec PowerShell モジュールの一部である Get-CredentialSpec コマンドレットを実行して、資格情報の仕様が正しい場所にあるかどうかを確認できます。
アプリケーションの構成方法の詳細については、「クイック スタート: Service Fabric に Windows コンテナーをデプロイする」と「Service Fabric で実行されている Windows コンテナー用に gMSA を設定する」を参照してください。
Docker Swarm で gMSA を使用する方法
Docker Swarm によって管理されるコンテナーで gMSA を使用するには、--credential-spec パラメーターを使用して docker service create コマンドを実行します。
docker service create --credential-spec "file://contoso_webapp01.json" --hostname "WebApp01" <image name>
Docker サービスで資格情報の仕様を使用する方法の詳細については、Docker Swarm の例の を参照してください。
関連コンテンツ
コンテナーの調整に加えて、gMSA を使用して次のことができます。
セットアップ中に問題が発生した場合は、トラブルシューティング ガイドの で考えられる解決策を確認してください。