GKE Windows Server 노드를 관리형 Microsoft AD 도메인에 자동으로 조인

이 페이지에서는 자동화된 도메인 조인 기능을 사용하여 Google Kubernetes Engine(GKE) 클러스터의 Windows Server 노드를 관리형 Microsoft AD 도메인에 조인하는 방법을 설명합니다.

관리형 Microsoft AD가 Windows Server 노드를 도메인에 자동으로 조인하는 방법

GKE 클러스터에서 노드 풀을 만들 때 관리형 Microsoft AD에서 제공하는 바로 활용할 수 있는 스크립트를 사용하여 관리형 Microsoft AD 도메인에 자동으로 조인합니다. GKE가 노드 풀을 만든 후 관리형 Microsoft AD는 도메인 조인 요청을 시작하고 노드를 도메인에 조인하려고 시도합니다. 도메인 조인 요청이 성공하면 관리형 Microsoft AD가 노드를 도메인에 조인합니다. 도메인 조인 요청이 실패하면 생성된 노드가 계속 실행됩니다. 노드 풀을 다시 만들기 전에 로그를 확인하여 문제를 식별하고 해결해야 합니다. 자세한 내용은 디버그 로그 보기를 참고하세요.

일부 특정 시나리오에서는 관리형 Microsoft AD에서 조인되지 않은 노드에 관한 정보를 수동으로 정리해야 합니다. 자세한 내용은 조인되지 않은 VM 삭제를 참고하세요.

도메인 조인 스크립트를 사용하여 기존 노드 풀을 업데이트하여 기존 노드를 도메인에 자동으로 조인할 수는 없습니다.

자동화된 도메인 조인 기능은 인증을 위해 gMSA로 실행되도록 GKE 노드를 구성하지 않습니다. 그러나 관리형 Microsoft AD에서 수동으로 gMSA를 만들고 gMSA를 사용하도록 GKE 노드를 구성할 수 있습니다. GKE 노드의 gMSA 구성에 대한 자세한 내용은 Windows 포드 및 컨테이너에 대해 gMSA 구성을 참조하세요.

시작하기 전에

1. 관리형 Microsoft AD 도메인 만들기

2. Windows Server 노드 풀을 사용하여 GKE 클러스터 만들기

3. Windows Server 노드가 관리형 Microsoft AD에서 지원하는 Windows 버전에서 실행되는지 확인합니다.

4. 관리형 Microsoft AD 도메인과 노드 네트워크 간에 도메인 피어링을 구성하거나 관리형 Microsoft AD 도메인과 노드를 모두 동일한 네트워크에 배치합니다.

5. 관리형 Microsoft AD 도메인이 있는 프로젝트에서 Google Cloud 관리형 ID 도메인 조인(roles/managedidentities.domainJoin) IAM 역할을 사용하여 서비스 계정을 만듭니다. 자세한 내용은 Cloud 관리형 ID 역할을 참조하세요.

   • 역할 부여에 대한 자세한 내용은 단일 역할 부여를 참조하세요.

   • 서비스 계정 만들기에 대한 자세한 내용은 서비스 계정을 사용하여 워크로드 인증을 참고하세요.

6. Windows Server 노드에서 전체 cloud-platform 액세스 범위를 설정합니다. 자세한 내용은 승인을 참조하세요.

메타데이터

Windows Server 노드를 도메인에 조인하려면 다음 메타데이터 키가 필요합니다.

• windows-startup-script-url
• managed-ad-domain
• (선택사항) enable-guest-attributes
• (선택사항) managed-ad-ou-name
• (선택사항) managed-ad-force

이러한 메타데이터 키에 관한 자세한 내용은 메타데이터를 참고하세요.

Windows Server 노드의 컴퓨터 계정이 관리형 Microsoft AD에 이미 있는 경우 도메인 조인 요청이 실패합니다. 관리형 Microsoft AD가 도메인 조인 프로세스 중에 기존 컴퓨터 계정을 재사용하려면 노드 풀을 만들 때 managed-ad-force 메타데이터 키를 사용하면 됩니다.

Windows Server 노드 조인

GKE 클러스터에 Windows Server 노드 풀을 추가할 때 이러한 메타데이터 키를 구성할 수 있습니다. 이 섹션에서는 노드 풀을 만들 때 gcloud CLI 명령어에서 이러한 메타데이터 키를 사용하는 방법을 보여줍니다.

그러나 다른 사용 가능한 옵션을 사용하여 노드 풀을 만들 때 이러한 메타데이터 키를 사용할 수 있습니다. 자세한 내용은 노드 풀 추가 및 관리를 참조하세요.

노드 풀을 만들고 Windows Server 노드에 참여하려면 다음 gcloud CLI 명령어를 실행합니다.

gcloud container node-pools create NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    "--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
    --service-account=SERVICE_ACCOUNT \
    --image-type=WINDOWS_IMAGE_NAME \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --location=ZONE_OR_REGION \
    --no-enable-autoupgrade

메타데이터 섹션에 설명된 대로 --metadata 플래그의 자리표시자를 관련 값으로 바꿀 수 있습니다.

이 gcloud CLI 명령어에 대한 자세한 내용은 gcloud container node-pools create를 참고하세요.

다음 단계

• Windows VM을 도메인에 자동으로 조인