Active Directory ドメインに自動で参加するように Windows Server ノードを構成する

Standard

このページでは、Google Kubernetes Engine（GKE）クラスタで Windows Server ノードを構成して、Active Directory（AD）ドメインに自動的に参加する方法について説明します。

Windows Server ノードを Managed Microsoft AD ドメインに参加させ、クラスタのコンピュータオブジェクトを含むセキュリティグループを必要としない場合は、自動化されたドメイン参加機能を使用できます。詳細については、GKE Windows Server ノードをマネージド Microsoft AD ドメインに自動的に参加させるをご覧ください。

始める前に

始める前に、次の作業が完了していることを確認してください。

Google Kubernetes Engine API を有効にする。

Google Kubernetes Engine API の有効化

このタスクに Google Cloud CLI を使用する場合は、gcloud CLI をインストールして初期化する。すでに gcloud CLI をインストールしている場合は、gcloud components update を実行して最新のバージョンを取得する。
注: gcloud CLI がすでにインストールされている場合には、必ず compute/region と compute/zone のプロパティを設定してください。デフォルトのロケーションを設定することで、gcloud CLI のエラー（One of [--zone, --region] must be supplied: Please specify location など）を防止できます。

クラスタを作成するための適切な IAM 権限があることを確認します。少なくとも、Kubernetes Engine Cluster 管理者である必要があります。

Windows Server ノードプールの自動参加を構成する

VM が自動的にドメインに参加するように Active Directory を構成するの手順で、AD と Google Cloud プロジェクトが自動参加するように構成します。
GKE クラスタを作成します。
```
gcloud container clusters create CLUSTER_NAME \
    --enable-ip-alias \
    --num-nodes=NUMBER_OF_NODES \
    --no-enable-shielded-nodes \
    --cluster-version=VERSION
```
次のように置き換えます。
- CLUSTER_NAME: 新しいクラスタの名前。
- NUMBER_OF_NODES: 作成する Linux ノードの数。クラスタアドオンを実行するために十分なコンピューティングリソースを提供する必要があります。これは省略可能なフィールドで、省略した場合、デフォルト値の 3 が使用されます。
- VERSION: GKE クラスタバージョン。1.17.14-gke.1200 以降または 1.18.9-gke.100 以降にする必要があります。--release-channel フラグを使用して、クラスタをリリースチャンネルに登録することもできます。
- --enable-ip-alias により、エイリアス IP が有効になります。Windows Server ノードにはエイリアス IP が必要です。
- --no-enable-shielded-nodes を指定すると、Shielded GKE Node が無効になります。
以下の変数を設定します。
```
export DOMAIN_PROJECT_ID=PROJECT_ID
export SERVERLESS_REGION=REGION
export REGISTER_URL=https://$SERVERLESS_REGION-$DOMAIN_PROJECT_ID.cloudfunctions.net/register-computer
```
次のように置き換えます。
- PROJECT_ID: ドメインプロジェクトのプロジェクト ID。
- REGION: Cloud Run functions をデプロイするリージョン。Cloud Run functions とサーバーレス VPC アクセスの両方をサポートするリージョンを選択してください。ここで選択するリージョンは、VM インスタンスをデプロイするリージョンと同じにする必要はありません。
ノードを AD ドメインに参加させる特殊なスクリプレットを渡して、Windows Server ノードプールを作成して起動します。
```
 gcloud container node-pools create NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    --image-type=IMAGE_NAME \
    --no-enable-autoupgrade \
    --machine-type=MACHINE_TYPE_NAME \
    "--metadata=sysprep-specialize-script-ps1=iex((New-Object System.Net.WebClient).DownloadString('$REGISTER_URL'))"
```
次のように置き換えます。
- NODE_POOL_NAME: Windows Server ノードプールの名前。
- CLUSTER_NAME: 作成したクラスタの名前。
- IMAGE_NAME: 使用するノードイメージ（WINDOWS_LTSC_CONTAINERD など）。詳細については、Windows Server ノードイメージを選択するをご覧ください。
- MACHINE_TYPE_NAME: マシンタイプ。Windows Server ノードには追加でリソースが必要になるため、n1-standard-2 が推奨される最小マシンタイプです。マシンタイプ f1-micro と g1-small はサポートされていません。マシンタイプごとに課金方法は異なります。詳細については、マシンタイプの価格表をご覧ください。

Windows Server ノードが Active Directory ドメインに追加されました。

次のステップ

グループマネージドサービスアカウント（gMSA）を Windows Server ノードプールで使用する。gMSA の使用をご覧ください。
Microsoft Active Directory のマネージドサービスについて学習する。