設定 Windows Server 節點來自動加入 Active Directory 網域

---

本頁面提供操作說明，協助您設定 Google Kubernetes Engine (GKE) 叢集中的 Windows Server 節點，自動加入 Active Directory (AD) 網域。

如要將 Windows Server 節點加入受管理 Microsoft AD 網域，且不需要包含叢集電腦物件的安全性群組，可以使用自動加入網域功能。詳情請參閱「將 GKE Windows Server 節點自動加入受管理的 Microsoft AD 網域」。

事前準備

開始之前，請確認你已完成下列工作：

• 啟用 Google Kubernetes Engine API。
啟用 Google Kubernetes Engine API
• 如要使用 Google Cloud CLI 執行這項工作，請安裝並初始化 gcloud CLI。如果您先前已安裝 gcloud CLI，請執行 gcloud components update，取得最新版本。

• 請確認您具備建立叢集的適當 IAM 權限。 您至少應具備 Kubernetes Engine 叢集管理員角色。

設定 Windows Server 節點集區的自動加入功能

1. 請按照「設定 Active Directory，讓 VM 自動加入網域」教學課程中的操作說明，設定 AD 和專案，讓 VM 自動加入網域。 Google Cloud

2. 建立 GKE 叢集：

   gcloud container clusters create CLUSTER_NAME \
       --enable-ip-alias \
       --num-nodes=NUMBER_OF_NODES \
       --no-enable-shielded-nodes \
       --cluster-version=VERSION
   

   更改下列內容：

   • CLUSTER_NAME：新叢集的名稱。
   • NUMBER_OF_NODES：要建立的 Linux 節點數量。您應提供足夠的運算資源來執行叢集外掛程式。這是選填欄位，如果省略，系統會使用預設值 3。
   • VERSION：GKE 叢集版本，必須為 1.17.14-gke.1200 以上版本，或 1.18.9-gke.100 以上版本。您也可以使用 --release-channel 旗標，在發布版本中註冊叢集。
   • --enable-ip-alias 會開啟別名 IP。Windows Server 節點必須使用別名 IP。
   • --no-enable-shielded-nodes 會停用受防護的 GKE 節點。

3. 設定下列變數：

   export DOMAIN_PROJECT_ID=PROJECT_ID
   export SERVERLESS_REGION=REGION
   export REGISTER_URL=https://$SERVERLESS_REGION-$DOMAIN_PROJECT_ID.cloudfunctions.net/register-computer
   

   更改下列內容：

   • PROJECT_ID：網域專案的專案 ID。
   • REGION：部署 Cloud Run 函式的區域。選擇同時支援 Cloud Run 函式和無伺服器虛擬私有雲存取的區域。這個地區不必與您打算部署 VM 執行個體的地區相同。

4. 傳遞可將節點加入 AD 網域的專屬 Scriptlet，建立並啟動 Windows Server 節點集區：

    gcloud container node-pools create NODE_POOL_NAME \
       --cluster=CLUSTER_NAME \
       --image-type=IMAGE_NAME \
       --no-enable-autoupgrade \
       --machine-type=MACHINE_TYPE_NAME \
       "--metadata=sysprep-specialize-script-ps1=iex((New-Object System.Net.WebClient).DownloadString('$REGISTER_URL'))"
   

   更改下列內容：

   • NODE_POOL_NAME：Windows Server 節點集區的名稱。
   • CLUSTER_NAME：您建立的叢集名稱。
   • IMAGE_NAME：要使用的節點映像檔，例如 WINDOWS_LTSC_CONTAINERD。詳情請參閱「選擇 Windows Server 節點映像檔」。
   • MACHINE_TYPE_NAME：機器類型。n1-standard-2 是建議的最低機器類型，因為 Windows Server 節點需要 額外資源。系統不支援 f1-micro 和 g1-small 機型。每種機器類型的計費方式不同。詳情請參閱機器類型價目表。

Windows Server 節點現已加入 Active Directory 網域。

後續步驟

• 如要在 Windows Server 節點集區中使用群組代管服務帳戶 (gMSA)，請參閱「使用 gMSA」。
• 瞭解 Managed Service for Microsoft Active Directory。