配置 Windows Server 节点以自动加入 Active Directory 网域

本页面介绍如何在 Google Kubernetes Engine (GKE) 集群中配置 Windows Server 节点，以自动加入 Active Directory (AD) 网域。

如果您想将 Windows Server 节点加入 Managed Microsoft AD 网域，并且不需要包含集群计算机对象的安全群组，则可以使用自动网域加入功能。如需了解详情，请参阅自动将 GKE Windows Server 节点加入 Managed Microsoft AD 网域。

准备工作

在开始之前，请确保您已执行以下任务：

启用 Google Kubernetes Engine API。

启用 Google Kubernetes Engine API

如果您要使用 Google Cloud CLI 执行此任务，请安装并初始化 gcloud CLI。如果您之前安装了 gcloud CLI，请运行 gcloud components update 以获取最新版本。
注意：对于现有 gcloud CLI 安装，请务必设置 compute/region 和 compute/zone 属性。通过设置默认位置，您可以避免 gcloud CLI 中出现以下错误：One of [--zone, --region] must be supplied: Please specify location。

确保您具有创建集群的正确 IAM 权限。您至少应是 Kubernetes Engine Cluster Admin。

为 Windows Server 节点池配置自动联接

按照为虚拟机配置 Active Directory 以自动加入网域教程中的说明，将 AD 和 Google Cloud 项目配置为自动加入。
创建 GKE 集群：
```
gcloud container clusters create CLUSTER_NAME \
    --enable-ip-alias \
    --num-nodes=NUMBER_OF_NODES \
    --no-enable-shielded-nodes \
    --cluster-version=VERSION
```
请替换以下内容：
- CLUSTER_NAME：新集群的名称。
- NUMBER_OF_NODES：要创建的 Linux 节点数量。您应该提供足够的计算资源以用于运行集群插件。这是一个可选字段，如果省略，则使用默认值 3。
- VERSION：GKE 集群版本，必须为 1.17.14-gke.1200 或更高版本，或者 1.18.9-gke.100 或更高版本。您还可以使用 --release-channel 标志在发布版本中注册集群。
- --enable-ip-alias 表示启用别名 IP。别名 IP 是 Windows Server 节点的必需设置。
- --no-enable-shielded-nodes 表示停用安全强化型 GKE 节点。
设置以下变量：
```
export DOMAIN_PROJECT_ID=PROJECT_ID
export SERVERLESS_REGION=REGION
export REGISTER_URL=https://$SERVERLESS_REGION-$DOMAIN_PROJECT_ID.cloudfunctions.net/register-computer
```
请替换以下内容：
- PROJECT_ID：您的网域项目的项目 ID。
- REGION：要在其中部署 Cloud Functions 函数的区域。选择支持 Cloud Functions 和无服务器 VPC 访问通道的区域。该地区不一定得是您计划在其中部署虚拟机实例的地区。
通过传递将节点的连接到 AD 网域的专用 scriptlet 创建并启动 Windows Server 节点池：
```
 gcloud container node-pools create NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    --image-type=IMAGE_NAME \
    --no-enable-autoupgrade \
    --machine-type=MACHINE_TYPE_NAME \
    "--metadata=sysprep-specialize-script-ps1=iex((New-Object System.Net.WebClient).DownloadString('$REGISTER_URL'))"
```
请替换以下内容：
- NODE_POOL_NAME：Windows Server 节点池的名称。
- CLUSTER_NAME：您创建的集群的名称。
- IMAGE_NAME：要使用的节点映像，例如 WINDOWS_LTSC_CONTAINERD。如需了解详情，请参阅选择 Windows Server 节点映像。
- MACHINE_TYPE_NAME：机器类型。n1-standard-2 是建议机器类型的最低要求，因为 Windows Server 节点需要更多资源。不支持 f1-micro 和 g1-small 机器类型。每种机器类型的计费方式都各不相同。如需了解详情，请参阅机器类型价格表。

您的 Windows Server 节点现已加入 Active Directory 网域。

后续步骤

如要将群组管理的服务账号 (gMSA) 与 Windows Server 节点池一起使用，请参阅使用 gMSA。
了解 Managed Service for Microsoft Active Directory。