微软推出了ICcgDomainAuthCredentials接口,允许在未加入域的Windows节点上处理gMSA凭证,减少了管理开销。亚马逊云科技据此开发了插件,并内置在AmazonEKS优化版WindowsAMI中,简化了在AmazonEKS上运行基于Windows的容器工作负载的过程。
.NET 开发人员在设计基于 Windows 的应用程序时通常会使用在加入域的服务器上运行的 Active Directory (AD) 集成,以实现服务和用户之间的身份验证和授权。由于容器无法加入域,因此在基于 Windows 的容器中运行这些应用程序需要配置群组托管服务账户 (gMSA)、加入域的 Kubernetes Windows 节点、webhook 和集群角色才能在基于 Windows 的容器上启用 Windows 身份验证。这会产生额外的管理开销,例如在每次扩缩事件时清理 Active Directory 计算机账户,以及由于域加入过程而大大增加了每个 Windows 节点上的引导时间。直到现在,还是这样。
从 2022 年开始,Microsoft 在 Windows Server 2019/2022 上推出了 ICcgDomainAuthCredentials 接口,允许开发人员开发一个插件,使未加入域的 Windows 节点能够通过将加入域的主机方法替换为可移植的用户身份 而不是主机账户来检索 gMSA 凭证。
亚马逊云科技开发了自己的插件,现在它内置在 Amazon EKS 优化版 Windows AMI 中,解决了扩缩管理开销,简化了在 Amazon Elastic Kubernetes Service (Amazon EKS) 上运行基于 Windows 的容器工作负载的过程。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
