发布于: Mar 27, 2023
Amazon Elastic Kubernetes Service (EKS) 宣布对 Windows 容器提供无域组托管服务账户 (gMSA) 支持。这有助于客户使用可移植的用户身份和插件机制轻松地通过 Microsoft Active Directory (AD) 对托管在 Amazon EKS 上的应用程序进行身份验证,以检索其 Windows 容器的 gMSA 凭证。现在,客户无需将 EKS 节点加入域即可运行需要 AD 身份验证的容器,即使发生自动扩展事件也是如此。
组托管服务账户 (gMSA) 是一个托管域账户,用于提供自动密码管理、服务主体名称 (SPN) 管理以及通过多个服务器/实例将管理委派给管理员等功能。这允许多个容器或资源共享一个 AD 账户,而不必单独对每个容器或资源进行身份验证,也无需访问网络共享资源,例如 SQL Server 主机或文件共享。自 EKS 版本 1.14 推出以来,客户可以通过将底层节点加入目标 AD 域来使用 gMSA 运行 EKS Windows 容器。现在,客户还可以在最新的 EKS 优化型 Windows AMI(版本 1.22 及更高版本)上使用内置插件,该插件使未加入域的 Windows 节点能够使用可移植的用户身份而不是主机账户检索 gMSA 凭证。请参阅此博客,获取有关如何开始使用的分步指南。
如此处所列,Amazon EKS 对 Windows 容器的支持已在所有公共 AWS 区域和 AWS GovCloud(美国)区域推出。要了解有关在 Amazon EKS 上运行 Windows 容器的更多信息,请访问 Amazon EKS 优化型 Windows AMI 文档和我们的产品页面。