このページでは、自動ドメイン参加機能を使用して、Google Kubernetes Engine(GKE)クラスタ内の Windows Server ノードをマネージド Microsoft AD ドメインに参加させる方法について説明します。
マネージド Microsoft AD が Windows Server ノードを自動的にドメインに参加させる方法
GKE クラスタにノードプールを作成する場合、マネージド Microsoft AD から入手できる既製のスクリプトを使用して、マネージド Microsoft AD ドメインに自動的に参加できます。GKE がノードプールを作成すると、マネージド Microsoft AD がドメイン参加リクエストを開始し、ノードをドメインに参加させようとします。ドメイン参加リクエストが成功すると、マネージド Microsoft AD はノードをドメインに参加させます。ドメイン参加リクエストが失敗した場合、作成されたノードは引き続き実行されます。ノードプールを再度作成する前に、ログを確認して問題を特定し、修正する必要があります。詳細については、デバッグログを表示するをご覧ください。
特定のシナリオでは、結合されていないノードに関する情報をマネージド Microsoft AD から手動でクリーンアップする必要があります。詳細については、結合されていない VM をクリーンアップするをご覧ください。
ドメイン参加スクリプトを使用して既存のノードプールを更新して、既存のノードを自動的にドメインに参加させることはできません。
自動ドメイン参加機能では、GKE ノードは gMSA で認証して実行するように構成されません。ただし、マネージド Microsoft AD で手動で gMSA を作成し、gMSA を使用するように GKE ノードを構成できます。GKE ノード用の gMSA の構成については、Windows Pod およびコンテナ用の gMSA の構成をご覧ください。
始める前に
Windows Server ノードがマネージド Microsoft AD でサポートされている Windows バージョンで動作していることを確認します。
マネージド Microsoft AD ドメインとノードのネットワークの間にドメイン ピアリングを構成するか、マネージド Microsoft AD ドメインとノードの両方を同じネットワーク内に配置します。
マネージド Microsoft AD ドメインを持つプロジェクトで Google Cloud Managed Identities ドメイン参加(
roles/managedidentities.domainJoin
)IAM ロールを持つサービス アカウントを作成します。詳細については、Cloud Managed Identities のロールをご覧ください。ロールの付与の詳細については、単一ロールの付与をご覧ください。
サービス アカウントの作成については、サービス アカウントを使用したワークロードの認証をご覧ください。
Windows Server ノードに
cloud-platform
の完全なアクセス スコープを設定します。詳しくは、承認をご覧ください。
メタデータ
Windows Server ノードをドメインに参加させるには、次のメタデータキーが必要です。
windows-startup-script-url
managed-ad-domain
- 省略可:
enable-guest-attributes
- 省略可:
managed-ad-ou-name
- 省略可:
managed-ad-force
これらのメタデータキーの詳細については、メタデータをご覧ください。
Windows Server ノードのコンピュータ アカウントがマネージド Microsoft AD にすでに存在する場合、ドメイン参加リクエストは失敗します。マネージド Microsoft AD がドメイン参加プロセス中に既存のコンピュータ アカウントを再利用する場合は、ノードプールを作成するときに managed-ad-force
メタデータキーを使用できます。
Windows Server ノードに参加する
これらのメタデータキーは、Windows Server ノードプールを GKE クラスタに追加するときに構成できます。このセクションでは、ノードプールを作成するときに、gcloud CLI コマンドでこれらのメタデータキーを使用する方法について説明します。
ただし、他の利用可能なオプションを使用してノードプールを作成するときにも、これらのメタデータキーを使用できます。詳細については、ノードプールの追加と管理をご覧ください。
ノードプールを作成して Windows Server ノードに参加するには、次の gcloud CLI コマンドを実行します。
gcloud container node-pools create NODE_POOL_NAME \ --cluster=CLUSTER_NAME \ "--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \ --service-account=SERVICE_ACCOUNT \ --image-type=WINDOWS_IMAGE_NAME \ --scopes=https://www.googleapis.com/auth/cloud-platform \ --location=ZONE_OR_REGION \ --no-enable-autoupgrade
メタデータ セクションで説明されているように、--metadata
フラグのプレースホルダを適切な値に置き換えることができます。
この gcloud CLI コマンドの詳細については、gcloud container node-pools create をご覧ください。