Compute Engine fornisce immagini pubbliche con Windows Server che puoi utilizzare per creare istanze. Per istruzioni su come creare un'istanza Windows Server con SQL Server preinstallato, consulta Creare istanze SQL Server.
Per informazioni più generali sulle istanze Windows Server e sulle applicazioni Windows che puoi eseguire su Compute Engine, consulta Windows su Compute Engine.
Prezzi
Le immagini Windows Server sono immagini premium e il loro utilizzo comporta addebiti aggiuntivi.
Le VM Windows Server non sono incluse nel Google Cloud Livello gratuito.
Prima di iniziare
- Abilitare la fatturazione per il progetto.
-
Se non l'hai ancora fatto, configura l'autenticazione.
L'autenticazione è il processo mediante il quale la tua identità viene verificata per l'accesso a servizi e API. Google Cloud
Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine selezionando una delle seguenti opzioni:
Select the tab for how you plan to use the samples on this page:
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Vai
Per utilizzare gli Go esempi in questa pagina in un ambiente di sviluppo locale, installa e inizializza l'interfaccia a riga di comando gcloud, quindi configura le credenziali predefinite dell'applicazione con le tue credenziali utente.
Per ulteriori informazioni, consulta Set up authentication for a local development environment.
Java
Per utilizzare gli Java esempi in questa pagina in un ambiente di sviluppo locale, installa e inizializza l'interfaccia a riga di comando gcloud, quindi configura le credenziali predefinite dell'applicazione con le tue credenziali utente.
Per ulteriori informazioni, consulta Set up authentication for a local development environment.
Node.js
Per utilizzare gli Node.js esempi in questa pagina in un ambiente di sviluppo locale, installa e inizializza l'interfaccia a riga di comando gcloud, quindi configura le credenziali predefinite dell'applicazione con le tue credenziali utente.
Per ulteriori informazioni, consulta Set up authentication for a local development environment.
Python
Per utilizzare gli Python esempi in questa pagina in un ambiente di sviluppo locale, installa e inizializza l'interfaccia a riga di comando gcloud, quindi configura le credenziali predefinite dell'applicazione con le tue credenziali utente.
Per ulteriori informazioni, consulta Set up authentication for a local development environment.
REST
Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Per ulteriori informazioni, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione Google Cloud sull'autenticazione.
-
Crea un'istanza Windows Server
Per creare un'istanza con Windows Server, specifica la famiglia di immagini per la versione specifica di Windows di cui hai bisogno. Compute Engine offre diverse versioni di Windows Server, la maggior parte delle quali è disponibile come immagini di VM isolate. Le immagini delle VM schermate offrono funzionalità di sicurezza come firmware conforme a UEFI, avvio protetto e avvio con misurazioni protetto da vTPM. Per un elenco delle famiglie di immagini disponibili, consulta le immagini pubbliche.
Se hai bisogno di più di due sessioni di desktop remoto contemporaneamente, dovrai acquistare licenze client di accesso (CAL) per le sessioni di desktop remoto (RDS). Per ulteriori informazioni, consulta Licenziare il deployment di RDS con licenze di accesso client (CAL).
Lavorare con Microsoft Active Directory
Se prevedi di utilizzare Microsoft Active Directory (AD) con la nuova istanza, assicurati che il nome dell'istanza non superi i 15 caratteri per rispettare le limitazioni massime della lunghezza del nome indicate nel sistema.
AD utilizza i nomi NetBIOS delle macchine, che vengono generati come nome dell'istanza abbreviato a 15 caratteri. Di conseguenza, potresti riscontrare il seguente errore
quando provi ad accedere come utente di un dominio:
The Security Database on the Server does not have a Computer Account for this Workstation Trust Relationship
.
Crea un'istanza Windows Server che utilizza un indirizzo IP esterno per l'attivazione
Questa sezione descrive come creare un'istanza Windows Server con un indirizzo IP esterno. La rete VPC deve essere configurata per
consentire l'accesso a kms.windows.googlecloud.com
.
Per creare una VM Windows di base:
Nella console Google Cloud, vai alla pagina Crea un'istanza.
In Disco di avvio, seleziona Cambia e svolgi i seguenti passaggi:
- Nella scheda Immagini pubbliche, scegli un sistema operativo Windows Server.
- Fai clic su Seleziona.
Per creare la VM, fai clic su Crea.
Per creare un'istanza Windows VM protetta, procedi nel seguente modo:
Nella console Google Cloud, vai alla pagina Crea un'istanza.
In Disco di avvio, seleziona Cambia e svolgi i seguenti passaggi:
- Nella scheda Immagini pubbliche, scegli un sistema operativo Windows Server.
- Per salvare la configurazione del disco di avvio, fai clic su Seleziona.
Se vuoi, per modificare le impostazioni della VM protetta, espandi la sezione Opzioni avanzate. Poi:
- Espandi la sezione Sicurezza.
- Se vuoi disattivare l'avvio protetto, deseleziona la casella di controllo Attiva avvio protetto. L'avvio protetto consente di proteggere le istanze VM da rootkit e malware a livello di avvio e di kernel. Per ulteriori informazioni, consulta Avvio protetto.
Se vuoi disattivare il Virtual Trusted Platform Module (vTPM), deseleziona la casella di controllo Attiva vTPM. Il vTPM abilita l'avvio con misurazioni, che convalida l'integrità in fase di pre-avvio e avvio della VM. Per ulteriori informazioni, consulta Virtual Trusted Platform Module (vTPM).
Se vuoi disattivare il monitoraggio dell'integrità, deseleziona la casella di controllo Attiva il monitoraggio dell'integrità. Il monitoraggio dell'integrità consente di monitorare l'integrità in fase di avvio delle VM Shielded VM mediante Cloud Monitoring. Per ulteriori informazioni, consulta Monitoraggio dell'integrità.
Per creare la VM, fai clic su Crea.
Utilizza il
comando compute images list
per visualizzare un elenco delle immagini Windows Server disponibili:
gcloud compute images list --project windows-cloud --no-standard-images
Per determinare se un'immagine supporta le funzionalità delle VM schermate, esegui il seguente comando e controlla se UEFI_COMPATIBLE
è presente nell'output:
gcloud compute images describeIMAGE_NAME --project windows-cloud
Sostituisci IMAGE_NAME
con il nome dell'immagine da verificare per verificare il supporto delle funzionalità delle VM schermate.
Utilizza il
comando compute instances create
per creare una nuova istanza e specificare la famiglia di immagini per una delle
immagini pubbliche di Windows Server.
gcloud compute instances createINSTANCE_NAME \ --image-project windows-cloud \ --image-familyIMAGE_FAMILY \ --machine-typeMACHINE_TYPE \ --boot-disk-sizeBOOT_DISK_SIZE \ --boot-disk-typeBOOT_DISK_TYPE
Sostituisci quanto segue:
INSTANCE_NAME
: un nome per la nuova istanza.IMAGE_FAMILY
: una delle famiglie di immagini pubbliche per le immagini Windows Server.MACHINE_TYPE
: uno dei tipi di macchine disponibili.BOOT_DISK_SIZE
: le dimensioni del disco di avvio in GiB. I dischi di grandi dimensioni hanno un throughput più elevato.BOOT_DISK_TYPE
: il tipo del disco di avvio per l'istanza, ad esempiohyperdisk-balanced
opd-ssd
.
Se hai scelto un'immagine che supporta la VM protetta, puoi optionally modificare le impostazioni della VM protetta dell'istanza utilizzando uno dei seguenti flag:
--no-shielded-secure-boot
: disattiva l'avvio protetto. L'avvio protetto consente di proteggere le istanze VM da rootkit e malware a livello di avvio e di kernel. Per ulteriori informazioni, consulta Avvio protetto.--no-shielded-vtpm
: disattiva il Virtual Trusted Platform Module (vTPM). Il vTPM abilita l'avvio con misurazioni, che convalida l'integrità della VM in fase di pre-avvio e avvio. Per ulteriori informazioni, consulta Virtual Trusted Platform Module (vTPM).--no-shielded-integrity-monitoring
: disattiva il monitoraggio dell'integrità. Il monitoraggio dell'integrità consente di monitorare l'integrità in fase di avvio delle istanze VM protette mediante Cloud Monitoring. Per ulteriori informazioni, consulta Monitoraggio dell'integrità.
Il seguente esempio crea un'istanza VM Shielded Windows 2022 con l'avvio protetto disattivato:
gcloud compute instances create my-instance \ --image-family windows-2022 --image-project windows-cloud \ --no-shielded-secure-boot
Per creare un'istanza con l'API, includi la proprietà initializeParams
nella richiesta di creazione dell'istanza e specifica un'immagine Windows. Ad esempio, il corpo della richiesta potrebbe avere il seguente aspetto:
instance = { "name": "INSTANCE_NAME ", "machineType": "zones/ZONE /machineTypes/MACHINE_TYPE ", "disks": [{ "boot": "true", "type": "PERSISTENT", "initializeParams": { "diskName": "DISK_NAME ", "sourceImage": "https://www.googleapis.com/compute/v1/projects/windows-cloud/global/images/family/IMAGE_FAMILY ", "diskSizeGb": "BOOT_DISK_SIZE ", "diskType": "BOOT_DISK_TYPE ", } }], "networkInterfaces": [{ "accessConfigs": [{ "type": "ONE_TO_ONE_NAT", "name": "External NAT" }], "network": "global/networks/default" }], "serviceAccounts": [{ "email": DEFAULT_SERVICE_EMAIL, "scopes": DEFAULT_SCOPES }] }
Sostituisci i seguenti segnaposto con valori validi:
INSTANCE_NAME
: il nome della nuova istanza.IMAGE_FAMILY
: una delle famiglie di immagini pubbliche per le immagini di Windows Server o SQL Server.ZONE
: la zona per questa istanza.MACHINE_TYPE
: uno dei tipi di macchine disponibili.BOOT_DISK_SIZE
: le dimensioni del disco di avvio in GiB. I dischi di grandi dimensioni hanno un throughput più elevato.BOOT_DISK_TYPE
: il tipo del disco di avvio per l'istanza, ad esempiohyperdisk-balanced
opd-ssd
.
Se hai scelto un'immagine che supporta Shielded VM, puoi facoltativamente modificare le impostazioni di Shielded VM dell'istanza utilizzando i seguenti elementi del corpo della richiesta booleani:
enableSecureBoot
: attiva o disattiva l'avvio protetto. L'avvio protetto consente di proteggere le istanze VM da rootkit e malware a livello di avvio e di kernel. Per ulteriori informazioni, consulta Avvio protetto.enableVtpm
: attiva o disattiva il Virtual Trusted Platform Module (vTPM). Il vTPM abilita l'avvio con misurazioni, che convalida l'integrità della VM in fase di pre-avvio e avvio. Per ulteriori informazioni, consulta Virtual Trusted Platform Module (vTPM).enableIntegrityMonitoring
: attiva o disattiva il monitoraggio dell'integrità. Il monitoraggio dell'integrità consente di controllare e verificare l'integrità in fase di avvio runtime delle istanze Shielded VM mediante i report di Cloud Monitoring. Per ulteriori informazioni, consulta Monitoraggio dell'integrità.
Per saperne di più sulla creazione di un'istanza, consulta la documentazione relativa al metodo instances.insert()
.
Dopo aver creato l'istanza Windows o SQL Server, imposta la password iniziale dell'istanza in modo da poterti connetterti all'istanza tramite RDP.
Inoltre, puoi unire la VM a un dominio Microsoft AD gestito durante la creazione della VM o dopo. Per ulteriori informazioni, consulta Aggiungere automaticamente una VM Windows a un dominio.
Crea un'istanza Windows Server che utilizza un indirizzo IP interno per l'attivazione
Prima di poter creare un'istanza Windows Server con solo un indirizzo IP interno, devi verificare o configurare le route e le regole firewall nella rete VPC per consentire l'accesso a kms.windows.googlecloud.com
. Inoltre, devi abilitare l'accesso privato Google
per le subnet nella tua rete VPC che contengono istanze Windows
con solo indirizzi IP interni.
Quando crei una nuova istanza utilizzando gcloud CLI, puoi utilizzare il flag --no-address
per assicurarti che non venga assegnato un indirizzo IP esterno:
gcloud compute instances createINSTANCE_NAME --networkNETWORK_NAME \ --subnetSUBNET_NAME \ --no-address \ --zoneZONE \ --image-project windows-cloud \ --image-familyIMAGE_FAMILY \ --machine-typeMACHINE_TYPE \ --boot-disk-sizeBOOT_DISK_SIZE \ --boot-disk-typeBOOT_DISK_TYPE
Sostituisci i seguenti segnaposto con valori validi:
INSTANCE_NAME
: un nome per la nuova istanza.SUBNET_NAME
: il nome della subnet nella rete VPC che verrà utilizzata dall'istanza. La subnet deve trovarsi nella stessa regione della zona scelta per l'istanza.IMAGE_FAMILY
: una delle famiglie di immagini pubbliche per le immagini Windows Server.MACHINE_TYPE
: uno dei tipi di macchine disponibili.BOOT_DISK_SIZE
: le dimensioni del disco di avvio in GiB. I dischi di grandi dimensioni hanno un throughput più elevato.BOOT_DISK_TYPE
: il tipo del disco di avvio per l'istanza. Ad esempio,hyperdisk-balanced
opd-ssd
.
Poiché questa istanza non ha un indirizzo IP esterno, non puoi connetterti direttamente tramite internet. Puoi connetterti da un'altra rete collegata alla tua rete VPC utilizzando Cloud Interconnect o Cloud VPN oppure puoi prima connetterti a un'istanza bastion tramite RDP e poi connetterti all'istanza che ha solo un indirizzo IP interno.
Inoltre, puoi unire la VM a un dominio Microsoft AD gestito durante la creazione della VM o dopo. Per ulteriori informazioni, consulta Aggiungere automaticamente una VM Windows a un dominio.
Configurare l'accesso a kms.windows.googlecloud.com
Per l'attivazione e il rinnovo di Windows, la rete VPC deve soddisfare i seguenti requisiti relativi a routing e regole firewall.
Requisiti di routing
Le istanze Windows devono essere in grado di raggiungere kms.windows.googlecloud.com
(35.190.247.13
o 2001:4860:4802:32::86
) tramite una route il cui hop successivo è il gateway internet predefinito. Non puoi attivare le istanze Windows utilizzando un gateway NAT basato su istanze o Cloud NAT perché kms.windows.googlecloud.com
rifiuta le richieste di attivazione provenienti da indirizzi IP che non sono confermati come istanze Compute Engine.
Puoi utilizzare la route predefinita nella rete VPC per instradare il traffico direttamente a kms.windows.googlecloud.com
. Se rimuovi questa route o se prevedi di farlo
in futuro,
crea una route statica personalizzata con destinazione 35.190.247.13
o 2001:4860:4802:32::86
e hop successivo impostato su gateway internet predefinito, come segue:
gcloud compute routes create mskms-ipv4-route-ipv4-network \ --destination-range=35.190.247.13/32 \ --network=ipv4-network \ --next-hop-gateway=default-internet-gateway
gcloud compute routes create mskms-ipv4-route-ipv4-network \ --destination-range=35.190.247.13/32 \ --network=ipv4-network \ --next-hop-gateway=default-internet-gateway
gcloud compute routes create mskms-ipv6-route-ipv6-network \ --destination-range=2001:4860:4802:32::86/128 \ --network=ipv6-network \ --next-hop-gateway=default-internet-gateway
gcloud compute routes create mskms-ipv6-route-ipv6-network \ --destination-range=2001:4860:4802:32::86/128 \ --network=ipv6-network \ --next-hop-gateway=default-internet-gateway
Sostituisci ipv4-network
o ipv6-network
con il nome della rete VPC.
La route predefinita o una route statica personalizzata consente alle istanze con indirizzi IP esterni di raggiungere kms.windows.googlecloud.com
. Se hai istanze Windows senza indirizzi IP esterni o che utilizzano Cloud NAT, devi anche abilitare l'accesso privato Google in modo che le istanze con solo indirizzi IP interni possano inviare traffico all'indirizzo IP esterno per kms.windows.googlecloud.com
(35.190.247.13
o 2001:4860:4802:32::86
).
Requisiti delle regole firewall
La regola del firewall consenti uscita implicita consente alle istanze di effettuare richieste e ricevere risposte stabilite. A meno che
non abbia creato regole firewall personalizzate che negano l'uscita, le tue istanze Windows
possono comunicare con kms.windows.googlecloud.com
.
Se personalizzi le regole firewall, è buona norma creare una regola di autorizzazione in uscita con priorità elevata che consenta esplicitamente la comunicazione con 35.190.247.13
o 2001:4860:4802:32::86
.
In questo modo, quando modifichi le regole del firewall, non disattivi accidentalmente
l'attivazione di Windows.
I seguenti esempi di gcloud
creano la regola di uscita consentita consigliata con la priorità più elevata:
gcloud compute firewall-rules create mskms-ipv4-firewall-rule-ipv4-network \ --direction=EGRESS \ --network=ipv4-network \ --action=ALLOW \ --rules=tcp:1688 \ --destination-ranges=35.190.247.13/32 \ --priority=0
gcloud compute firewall-rules create mskms-ipv4-firewall-rule-ipv4-network \ --direction=EGRESS \ --network=ipv4-network \ --action=ALLOW \ --rules=tcp:1688 \ --destination-ranges=35.190.247.13/32 \ --priority=0
gcloud compute firewall-rules create mskms-ipv6-firewall-rule-ipv6-network \ --direction=EGRESS \ --network=ipv6-network \ --action=ALLOW \ --rules=tcp:1688 \ --destination-ranges=2001:4860:4802:32::86/128 \ --priority=0
gcloud compute firewall-rules create mskms-ipv6-firewall-rule-ipv6-network \ --direction=EGRESS \ --network=ipv6-network \ --action=ALLOW \ --rules=tcp:1688 \ --destination-ranges=2001:4860:4802:32::86/128 \ --priority=0
Sostituisci ipv4-network
o ipv6-network
con il nome della rete VPC.
Verificare che un'istanza sia stata avviata correttamente
Le istanze Windows hanno un tempo di avvio più lungo a causa del processo sysprep. La console Google Cloud potrebbe indicare che l'istanza è in esecuzione anche se la procedura di sysprep non è ancora completata. Per verificare se l'istanza è stata avviata correttamente ed è pronta per essere utilizzata, controlla l'output della porta seriale con il seguente comando:
gcloud compute instances get-serial-port-output INSTANCE_NAME
Sostituisci INSTANCE_NAME
con il nome dell'istanza che vuoi verificare.
...[snip]... Running schtasks with arguments /run /tn GCEStartup --> SUCCESS: Attempted to run the scheduled task "GCEStartup". ------------------------------------------------------------- Instance setup finished.INSTANCE_NAME is ready to use. -------------------------------------------------------------
Attivazione e disattivazione delle funzionalità delle istanze Windows
Se hai istanze Windows con versioni dell'immagine v20170509
e successive o con la versione dell'agente v20170509
e successive, puoi impostare la configurazione dell'istanza in un file di configurazione o nei metadati personalizzati del progetto o dell'istanza.4.1.0
Il file di configurazione è in formato INI e si trova nel seguente percorso:
C:\Program Files\Google\Compute Engine\instance_configs.cfg
Il sistema sostituisce le impostazioni di configurazione nel seguente ordine di priorità, dalla priorità più alta alla più bassa:
- Parametri di configurazione impostati nel file di configurazione
- Parametri di configurazione impostati nei metadati personalizzati a livello di istanza
- Parametri di configurazione impostati nei metadati personalizzati a livello di progetto
Ad esempio, se puoi attivare la funzionalità accountManager
in un file di configurazione,
la tua istanza ignora i parametri impostati nei metadati personalizzati per disattivarla.
Un vantaggio dell'impostazione di questi parametri nel file di configurazione è che queste impostazioni rimangono invariate quando crei un'immagine personalizzata per un'istanza di Windows Server. I metadati personalizzati a livello di istanza non vengono conservati oltre la durata dell'istanza.
Puoi disattivare diverse funzionalità delle istanze Windows utilizzando i seguenti esempi.
Disattivare l'amministratore account
La disattivazione dell'account manager disattiva anche la reimpostazione delle password con Google Cloud CLI o la console Google Cloud:
File di configurazione:
[accountManager] disable=true
Nei metadati personalizzati, imposta
disable-account-manager
sutrue
nei metadati.
Disattivare il gestore degli indirizzi
Voce del file di configurazione:
[addressManager] disable=true
Nei metadati personalizzati, imposta
disable-address-manager
sutrue
nei metadati.
Windows Server Failover Clustering
Attiva l'agente Windows Server Failover Clustering:
Voce del file di configurazione:
[wsfc] enable=true
Nei metadati personalizzati, imposta
enable-wsfc
sutrue
nei metadati.
Utilizzo di più bilanciatori del carico interni
Specifica l'indirizzo IP dell'istanza di bilanciamento del carico interno per il clustering di failover. Questa è una configurazione avanzata che non è necessario impostare per un cluster di failover dedicato.
Di solito, utilizzi un'istanza di bilanciamento del carico interno per indirizzare il traffico di rete a una sola istanza VM alla volta. Se aggiungi una seconda istanza di bilanciamento del carico interno che utilizza il clustering delle istanze VM con failover come parte di un backend del sito web bilanciato in base al carico, avrai due indirizzi IP di bilanciamento del carico interno. Se il clustering con failover utilizza 10.0.0.10
e il bilanciatore del carico del sito web utilizza 10.0.0.11
, devi specificare l'indirizzo IP del bilanciatore del carico che utilizzi per il clustering con failover. In questo modo viene chiarito quale indirizzo è in uso per il cluster.
Voce del file di configurazione:
[wsfc] addresses=10.0.0.10
Nei metadati personalizzati, imposta
wsfc-addrs
su un10.0.0.10
.
Modifica della porta dell'agente di clustering
Imposta la porta dell'agente di clustering di failover. La porta predefinita è 59998
.
Devi specificare una porta solo se vuoi utilizzarne una diversa:
Voce del file di configurazione:
[wsfc] port=12345
Nei metadati personalizzati, imposta
wsfc-agent-port
sul numero di porta.
Note sulle versioni delle immagini
Le immagini meno recenti non utilizzano un file di configurazione e hanno solo un sottoinsieme di funzionalità.
Le versioni delle immagini tra la versione v20160112
e la versione v20170509
o la versione dell'agente Windows tra 3.2.1.0
e 4.0.0
richiedono l'utilizzo dei seguenti valori dei metadati personalizzati:
- Imposta
disable-account-manager
sutrue
nei metadati dell'istanza per disattivare l'amministratore account. - Imposta
disable-address-manager
sutrue
nei metadati dell'istanza per disattivare il gestore degli indirizzi.
Passaggi successivi
- Genera le credenziali per le VM Windows
- Aggiungere un disco permanente
- Connettersi alle VM Windows utilizzando RDP
- Connettersi alle VM Windows tramite SSH
- Connettersi alle VM Windows utilizzando PowerShell