发布于: Mar 28, 2023
Amazon Elastic Kubernetes Service(EKS)宣布推出支持 Windows 容器的无域组托管服务账户(gMSA)。 这可以帮助客户使用可移植的用户身份和插件机制检索其 Windows 容器的 gMSA 凭证,轻松通过 Microsoft Active Directory(AD)对 Amazon EKS 上托管的应用程序进行身份验证。借助最新产品,客户无需将 Amazon EKS 节点或底层实例加入域,也无需在滚动更新或自动扩展事件中将节点重新加入域,即可运行容器。
组托管服务账户(gMSA)是一个托管域账户,提供自动密码管理、服务主体名称(SPN)管理,而且能够通过多个服务器/实例将管理委托给其他管理员。这允许多个容器或资源共享一个 AD 账户,无需知道密码。由于容器无法加入 AD 域,因此它们仍然可以使用 gMSA 来支持各种身份验证方案并访问网络共享资源,例如 SQL Server 主机、SharePoint 服务器或文件共享。而自 EKS 版本 1.14 发布以来,客户通过将 EKS Windows 节点加入目标 AD 域,便能够使用 gMSA 账户运行 EKS Windows 容器。今天,我们推出了自己的插件,该插件现在内置在最新的 Amazon EKS 优化版 Windows AMI(版本 1.22 及更高版本)中,使未加入域的 Windows 节点能够使用可移植的用户身份(而不是主机计算机账户)检索 gMSA 凭证。要遵循分步指南,了解如何配置 EKS Windows 以设置无域 gMSA,请阅读此博客。
要了解有关在 Amazon EKS 上运行 Windows 容器的更多信息,请访问 Amazon EKS 优化版 Windows AMI 文档。要了解有关 Amazon EKS 的更多信息,请访问我们的产品页面。