Questa pagina spiega come unire i nodi Windows Server nel tuo cluster Google Kubernetes Engine (GKE) a un dominio Microsoft AD gestito utilizzando la funzionalità di aggiunta automatica ai domini.
Come Microsoft AD gestito unisce automaticamente i nodi Windows Server a un dominio
Quando crei un pool di nodi nel cluster GKE, puoi utilizzare gli script già pronti disponibili in Microsoft AD gestito per aggiungere automaticamente il dominio Microsoft AD gestito. Dopo che GKE ha creato il pool di nodi, Microsoft AD gestito avvia la richiesta di iscrizione al dominio e tenta di unire i nodi al tuo dominio. Se la richiesta di join al dominio ha esito positivo, Microsoft AD gestito unisce i nodi al tuo dominio. Se la richiesta di join al dominio non va a buon fine, i nodi creati continuano a essere eseguiti. Devi controllare i log per identificare e risolvere il problema prima di creare di nuovo il pool di nodi. Per ulteriori informazioni, consulta Visualizzare i log di debug.
In alcuni scenari specifici devi ripulire manualmente le informazioni sui nodi non uniti dalla gestione di Microsoft AD. Per maggiori informazioni, consulta Pulizia delle VM non unite.
Non puoi aggiornare un pool di nodi esistente con gli script di join al dominio per unire automaticamente i nodi esistenti al tuo dominio.
La funzionalità di aggiunta automatica dei domini non configura i nodi GKE in modo che vengano eseguiti con gMSA per l'autenticazione. Tuttavia, puoi creare manualmente un gMSA in Microsoft AD gestito e configurare i nodi GKE per l'utilizzo di gMSA. Per informazioni sulla configurazione di gMSA per i nodi GKE, consulta Configurare gMSA per pod e container Windows.
Prima di iniziare
Crea un cluster GKE utilizzando i pool di nodi di Windows Server.
Assicurati che i nodi di Windows Server vengano eseguiti su una versione di Windows supportata da Microsoft AD gestito.
Configura il peering del dominio tra il dominio Microsoft AD gestito e la rete dei nodi oppure assicurati che sia il dominio Microsoft AD gestito e i nodi nella stessa rete.
Crea un account di servizio con il ruolo IAM Domain Join (
roles/managedidentities.domainJoin) identità gestite da Google Cloud per il progetto con il dominio Microsoft AD gestito. Per ulteriori informazioni, consulta Ruoli identità gestite da Cloud.Per ulteriori informazioni sulla concessione dei ruoli, consulta Concedere un singolo ruolo.
Per informazioni sulla creazione di un account di servizio, consulta Autenticare i carichi di lavoro utilizzando gli account di servizio.
Imposta l'ambito di accesso completo a
cloud-platformsui nodi di Windows Server. Per ulteriori informazioni, consulta Autorizzazione.
Metadati
Per unire i nodi Windows Server a un dominio, sono necessarie le seguenti chiavi di metadati.
windows-startup-script-urlmanaged-ad-domain- Facoltativo:
enable-guest-attributes - Facoltativo:
managed-ad-ou-name - Facoltativo:
managed-ad-force
Per ulteriori informazioni su queste chiavi dei metadati, consulta la sezione Metadati.
La richiesta di join al dominio non va a buon fine quando l'account computer di un nodo Windows Server esiste già in Microsoft AD gestito. Affinché Microsoft AD gestito possa riutilizzare l'account computer esistente durante il processo di join al dominio, puoi utilizzare la chiave di metadati managed-ad-force quando crei il pool di nodi.
Unisci nodi Windows Server
Puoi configurare queste chiavi di metadati quando aggiungi un pool di nodi Windows Server al tuo cluster GKE. Questa sezione illustra come utilizzare queste chiavi di metadati nei comandi di gcloud CLI quando crei un pool di nodi.
Tuttavia, puoi utilizzare queste chiavi di metadati quando crei un pool di nodi utilizzando anche le altre opzioni disponibili. Per maggiori informazioni, consulta Aggiungere e gestire i pool di nodi.
Per creare un pool di nodi e unire i nodi di Windows Server, esegui questo comando gcloud CLI:
gcloud container node-pools create NODE_POOL_NAME \
--cluster=CLUSTER_NAME \
"--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
--service-account=SERVICE_ACCOUNT \
--image-type=WINDOWS_IMAGE_NAME \
--scopes=https://www.googleapis.com/auth/cloud-platform \
--location=ZONE_OR_REGION \
--no-enable-autoupgrade
Puoi sostituire i segnaposto nel flag --metadata con valori pertinenti, come descritto nella sezione metadata.
Per ulteriori informazioni su questo comando gcloud CLI, vedi gcloud container node-pools create.