内容提要
亚马逊最近宣布将Credentials Fetcher与Amazon Elastic Container Service (Amazon ECS)在Amazon Fargate上进行集成。这使得用户可以使用Amazon EC2或Amazon Fargate启动类型在Amazon ECS上运行Linux容器。之前,在Amazon ECS上运行依赖于组管理服务帐户 (gMSA) 的Linux容器仅限于在Amazon EC2实例上运行。通过Amazon Fargate支持,用户可以将其应用程序现代化,以Linux容器形式运行,并使用gMSA Windows身份验证,无需虚拟机。本文提供了gMSA在Amazon Fargate上的解决方案概述和先决条件。还讨论了在Amazon ECS中配置Credentials Fetcher和Active Directory以进行Windows身份验证的过程。文章最后提到了应用程序容器的部署和故障排除技巧。
关键要点
-
亚马逊宣布将Credentials Fetcher与Amazon ECS在Fargate上集成,支持在ECS上运行Linux容器。
-
之前,依赖于gMSA的Linux容器仅限于在EC2实例上运行,现在可以在Fargate上运行。
-
集成允许用户现代化应用程序,使用gMSA进行Windows身份验证,无需虚拟机。
-
文章提供了gMSA在Fargate上的解决方案概述和先决条件。
-
部署示例解决方案需要生成CredSpec文件并上传到Amazon S3。
-
Credentials Fetcher负责从gMSA获取Kerberos票证并提供给Linux容器。
-
在Fargate上,Credentials Fetcher开箱即用,无需在每个实例中安装。
-
构建应用程序容器时,需要设置任务定义中的credentialSpecs属性。
-
部署应用程序时,确保ECS服务和任务在连接到AD域控制器的VPC子网中启动。
-
故障排除时,检查SQL Server连接和Credentials Fetcher的Kerberos票证检索问题。
-
为避免费用,建议在完成后删除资源。
