微软推出了ICcgDomainAuthCredentials接口,允许在未加入域的Windows节点上处理gMSA凭证,减少了管理开销。亚马逊云科技据此开发了插件,并内置在AmazonEKS优化版WindowsAMI中,简化了在AmazonEKS上运行基于Windows的容器工作负载的过程。
.NET 开发人员在设计基于 Windows 的应用程序时通常会使用在加入域的服务器上运行的 Active Directory (AD) 集成,以实现服务和用户之间的身份验证和授权。由于容器无法加入域,因此在基于 Windows 的容器中运行这些应用程序需要配置群组托管服务账户 (gMSA)、加入域的 Kubernetes Windows 节点、webhook 和集群角色才能在基于 Windows 的容器上启用 Windows 身份验证。这会产生额外的管理开销,例如在每次扩缩事件时清理 Active Directory 计算机账户,以及由于域加入过程而大大增加了每个 Windows 节点上的引导时间。直到现在,还是这样。
从 2022 年开始,Microsoft 在 Windows Server 2019/2022 上推出了 ICcgDomainAuthCredentials 接口,允许开发人员开发一个插件,使未加入域的 Windows 节点能够通过将加入域的主机方法替换为可移植的用户身份 而不是主机账户来检索 gMSA 凭证。
亚马逊云科技开发了自己的插件,现在它内置在 Amazon EKS 优化版 Windows AMI 中,解决了扩缩管理开销,简化了在 Amazon Elastic Kubernetes Service (Amazon EKS) 上运行基于 Windows 的容器工作负载的过程。
扫一扫
690
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
