Vincular nós do GKE Windows Server automaticamente a um domínio do Microsoft AD gerenciado

Nesta página, explicamos como ingressar nós do Windows Server no cluster do Google Kubernetes Engine (GKE) em um domínio gerenciado do Microsoft AD usando o recurso de ingressão automática de domínio.

Como o Microsoft AD gerenciado associa nós do Windows Server a um domínio automaticamente

Ao criar um pool de nós no cluster do GKE, você pode usar os scripts prontos disponíveis no Microsoft AD gerenciado para participar automaticamente do domínio do Microsoft AD gerenciado. Depois que o GKE cria o pool de nós, o Managed Microsoft AD inicia a solicitação de associação ao domínio e tenta associar os nós ao seu domínio. Se a solicitação de associação ao domínio for bem-sucedida, o Managed Microsoft AD vai associar os nós ao seu domínio. Se a solicitação de vinculação de domínio falhar, os nós criados vão continuar em execução. Verifique os registros para identificar e corrigir o problema antes de criar o pool de nós novamente. Para mais informações, consulte Exibir registros de depuração.

É necessário limpar manualmente as informações sobre nós não associados do Microsoft AD gerenciado em alguns cenários específicos. Para mais informações, consulte Limpar VMs não associadas.

Não é possível atualizar um pool de nós com os scripts de associação ao domínio para associar automaticamente os nós ao seu domínio.

O recurso de integração automática de domínios não configura os nós do GKE para serem executados com o gMSA para autenticação. No entanto, é possível criar manualmente um gMSA no Microsoft AD gerenciado e configurar os nós do GKE para usar o gMSA. Para informações sobre como configurar o gMSA para os nós do GKE, consulte Configurar o gMSA para pods e contêineres do Windows.

Antes de começar

1. Crie um domínio do Microsoft AD gerenciado.

2. Crie um cluster do GKE usando os pools de nós do Windows Server.

3. Verifique se os nós do Windows Server são executados em uma versão do Windows com suporte ao Microsoft AD gerenciado.

4. Configure o peering de domínio entre o domínio do Microsoft AD gerenciado e a rede dos nós ou tenha o domínio do Microsoft AD gerenciado e os nós na mesma rede.

5. Crie uma conta de serviço com a função IAM de mesclagem de domínio de identidades gerenciadas do Google Cloud (roles/managedidentities.domainJoin) no projeto que tem o domínio do Managed Microsoft AD. Para mais informações, consulte Funções do Cloud Managed Identities.

   • Para mais informações sobre como conceder papéis, consulte Conceder um único papel.

   • Para informações sobre como criar uma conta de serviço, consulte Autenticar cargas de trabalho usando contas de serviço.

6. Defina o escopo de acesso cloud-platform completo nos nós do Windows Server. Para mais informações, consulte Autorização.

Metadados

Você precisa das seguintes chaves de metadados para ingressar nos nós do Windows Server em um domínio.

• windows-startup-script-url
• managed-ad-domain
• Opcional: enable-guest-attributes
• Opcional: managed-ad-ou-name
• Opcional: managed-ad-force

Para mais informações sobre essas chaves, consulte Metadados.

A solicitação de participação no domínio falha quando a conta de computador de um nó do Windows Server já existe no Microsoft AD gerenciado. Para que o Microsoft AD gerenciado reutilize a conta de computador existente durante o processo de associação ao domínio, use a chave de metadados managed-ad-force ao criar o pool de nós.

Participar de nós do Windows Server

É possível configurar essas chaves de metadados ao adicionar um pool de nós do Windows Server ao cluster do GKE. Esta seção ilustra como usar essas chaves de metadados nos comandos da CLI gcloud ao criar um pool de nós.

No entanto, é possível usar essas chaves de metadados ao criar um pool de nós com as outras opções disponíveis. Para mais informações, consulte Adicionar e gerenciar pools de nós.

Para criar um pool de nós e ingressar nos nós do Windows Server, execute o seguinte comando da CLI gcloud:

gcloud container node-pools create NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    "--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
    --service-account=SERVICE_ACCOUNT \
    --image-type=WINDOWS_IMAGE_NAME \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --location=ZONE_OR_REGION \
    --no-enable-autoupgrade

É possível substituir os marcadores de posição na flag --metadata por valores relevantes, conforme descrito na seção metadados.

Para mais informações sobre esse comando da CLI gcloud, consulte gcloud container node-pools create.

A seguir

• Associar uma VM do Windows automaticamente a um domínio.