Auf dieser Seite werden die Schritte zum Konfigurieren von Windows Server-Knoten in Ihrem GKE-Cluster (Google Kubernetes Engine) beschreiben, um automatisch einer Active Directory-Domain (AD) beizutreten.
Wenn Sie Ihre Windows Server-Knoten mit einer Managed Microsoft AD-Domain verknüpfen möchten und keine Sicherheitsgruppe benötigen, die die Computerobjekte des Clusters enthält, können Ihr Cluster das Feature für den automatischen Domainbeitritt verwenden. Weitere Informationen finden Sie unter GKE Windows Server-Knoten automatisch mit einer Managed Microsoft AD-Domain verbinden.
Hinweis
Führen Sie die folgenden Schritte durch, bevor Sie beginnen:
- Aktivieren Sie die Google Kubernetes Engine API. Google Kubernetes Engine API aktivieren
- Wenn Sie die Google Cloud CLI für diese Aufgabe verwenden möchten, müssen Sie die gcloud CLI installieren und dann initialisieren. Wenn Sie die gcloud CLI bereits installiert haben, rufen Sie die neueste Version mit
gcloud components update
ab.
- Prüfen Sie, ob Sie die erforderliche IAM-Berechtigung zum Erstellen von Clustern haben. Sie sollten mindestens Kubernetes Engine-Cluster-Administrator sein.
Automatischen Beitritt zu Windows Server-Knotenpools konfigurieren
Konfigurieren Sie AD und Ihr Google Cloud-Projekt für den automatischen Beitritt. Führen Sie dazu die Schritte in der Anleitung Active Directory für VMs für den automatischen Domainbeitritt konfigurieren aus.
Erstellen Sie einen GKE-Cluster.
gcloud container clusters create CLUSTER_NAME \ --enable-ip-alias \ --num-nodes=NUMBER_OF_NODES \ --no-enable-shielded-nodes \ --cluster-version=VERSION
Dabei gilt:
CLUSTER_NAME
: Der Name des neuen Clusters.NUMBER_OF_NODES
: die Anzahl der Linux-Knoten, die erstellt werden sollen. Sie sollten genügend Rechenressourcen bereitstellen, um Cluster-Add-ons auszuführen. Dies ist ein optionales Feld und verwendet den Standardwert 3, falls nichts angegeben wird.VERSION
: Die GKE-Clusterversion, die 1.17.14-gke.1200 oder höher oder 1.18.9-gke.100 oder höher sein muss. Sie können auch das Flag--release-channel
verwenden, um den Cluster in einer Release-Version zu registrieren.--enable-ip-alias
aktiviert die Alias-IP. Für Windows Server-Knoten ist eine Alias-IP erforderlich.--no-enable-shielded-nodes
deaktiviert Shielded GKE-Knoten.
Legen Sie die folgenden Variablen fest:
export DOMAIN_PROJECT_ID=PROJECT_ID export SERVERLESS_REGION=REGION export REGISTER_URL=https://$SERVERLESS_REGION-$DOMAIN_PROJECT_ID.cloudfunctions.net/register-computer
Dabei gilt:
PROJECT_ID
: Die Projekt-ID Ihres Domainprojekts.REGION
: ist die Region, in der die Cloud Run-Funktion bereitgestellt werden soll. Wählen Sie eine Region aus, die sowohl Cloud Run als auch den serverlosen VPC-Zugriff unterstützt. Die Region muss nicht mit der Region übereinstimmen, in der Sie VM-Instanzen bereitstellen möchten.
Erstellen und starten Sie einen Windows Server-Knotenpool. Dazu übergeben Sie das specialize-Skriptlet, das den Knoten mit der AD-Domain verbindet:
gcloud container node-pools create NODE_POOL_NAME \ --cluster=CLUSTER_NAME \ --image-type=IMAGE_NAME \ --no-enable-autoupgrade \ --machine-type=MACHINE_TYPE_NAME \ "--metadata=sysprep-specialize-script-ps1=iex((New-Object System.Net.WebClient).DownloadString('$REGISTER_URL'))"
Dabei gilt:
NODE_POOL_NAME
ist der Name des Windows Server-Knotenpools.CLUSTER_NAME
ist der Name des von Ihnen erstellten Clusters.IMAGE_NAME
: Das zu verwendende Knoten-Image, z. B.WINDOWS_LTSC_CONTAINERD
. Weitere Informationen finden Sie unter Windows-Server-Knoten-Image auswählen.MACHINE_TYPE_NAME
ist der Maschinentyp.n1-standard-2
ist der empfohlene Mindestmaschinentyp, da Windows Server-Knoten zusätzliche Ressourcen benötigen. Die Maschinentypenf1-micro
undg1-small
werden nicht unterstützt. Jeder Maschinentyp wird unterschiedlich abgerechnet. Weitere Informationen finden Sie in der Preisübersicht für Maschinentypen.
Der Windows Server-Knoten ist jetzt der Active Directory-Domain beigetreten.
Nächste Schritte
- Wenn Sie ein Group Managed Service Account (gSAS) mit Windows Server-Knotenpools verwenden möchten, lesen Sie die Informationen unter GSA verwenden.
- Weitere Informationen zu Managed Service for Microsoft Active Directory