Esta página se ha traducido con Cloud Translation API.

Unir automáticamente nodos de Windows Server de GKE a un dominio de Microsoft AD gestionado

En esta página se explica cómo unir nodos de Windows Server de tu clúster de Google Kubernetes Engine (GKE) a un dominio de Microsoft AD gestionado mediante la función de unión automática a un dominio.

Cómo une Managed Microsoft AD automáticamente los nodos de Windows Server a un dominio

Cuando creas un grupo de nodos en tu clúster de GKE, puedes usar las secuencias de comandos prediseñadas que están disponibles en Managed Microsoft AD para unir automáticamente tu dominio de Managed Microsoft AD. Una vez que GKE crea el grupo de nodos, Managed Microsoft AD inicia la solicitud de unión al dominio e intenta unir los nodos a tu dominio. Si la solicitud para unir el dominio se realiza correctamente, Managed Microsoft AD une los nodos a tu dominio. Si la solicitud de unión al dominio falla, los nodos creados seguirán ejecutándose. Debes consultar los registros para identificar y solucionar el problema antes de volver a crear el grupo de nodos. Para obtener más información, consulta Ver registros de depuración.

En algunos casos concretos, debes limpiar manualmente la información sobre los nodos no unidos de Managed Microsoft AD. Para obtener más información, consulta Limpiar las VMs que no se han unido.

No puedes actualizar un grupo de nodos con los scripts de unión al dominio para que los nodos se unan automáticamente a tu dominio.

La función de unión automática a un dominio no configura los nodos de GKE para que se ejecuten con gMSA para la autenticación. Sin embargo, puedes crear manualmente un gMSA en Managed Microsoft AD y configurar los nodos de GKE para que usen el gMSA. Para obtener información sobre cómo configurar gMSA para los nodos de GKE, consulta el artículo Configurar gMSA para pods y contenedores de Windows.

Antes de empezar

Crea un dominio de Microsoft AD gestionado.
Crea un clúster de GKE mediante grupos de nodos de Windows Server.
Asegúrate de que los nodos de Windows Server se ejecuten en una versión de Windows compatible con Managed Microsoft AD.
Configura el peering de dominio entre el dominio de Microsoft AD gestionado y la red de los nodos, o haz que tanto el dominio de Microsoft AD gestionado como los nodos estén en la misma red.
Crea una cuenta de servicio con el rol de gestión de identidades y accesos Google Cloud Unir al dominio de identidades gestionadasroles/managedidentities.domainJoin en el proyecto que tenga el dominio de Microsoft AD gestionado. Para obtener más información, consulta los roles de identidades gestionadas en Cloud.
- Para obtener más información sobre cómo conceder roles, consulta el artículo Asignar un rol concreto.
- Para obtener información sobre cómo crear una cuenta de servicio, consulta Autenticar cargas de trabajo mediante cuentas de servicio.
Define el ámbito de acceso completo de cloud-platform en los nodos de Windows Server. Para obtener más información, consulta Autorización.

Metadatos

Necesita las siguientes claves de metadatos para unir sus nodos de Windows Server a un dominio.

windows-startup-script-url
managed-ad-domain
Opcional: enable-guest-attributes
Opcional: managed-ad-ou-name
Opcional: managed-ad-force

Para obtener más información sobre estas claves de metadatos, consulta Metadatos.

La solicitud de unión al dominio falla cuando la cuenta de ordenador de un nodo de Windows Server ya existe en Managed Microsoft AD. Para que Managed Microsoft AD reutilice la cuenta de ordenador durante el proceso de unión al dominio, puedes usar la clave de metadatos managed-ad-force cuando crees el grupo de nodos.

Unir nodos de Windows Server

Puedes configurar estas claves de metadatos cuando añadas un grupo de nodos de Windows Server a tu clúster de GKE. En esta sección se muestra cómo usar estas claves de metadatos en comandos de la CLI de gcloud al crear un grupo de nodos.

Sin embargo, puede usar estas claves de metadatos cuando cree un grupo de nodos con las otras opciones disponibles. Para obtener más información, consulta Añadir y gestionar grupos de nodos.

Para crear un grupo de nodos y unir los nodos de Windows Server, ejecuta el siguiente comando de la CLI de gcloud:

gcloud container node-pools create NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    "--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
    --service-account=SERVICE_ACCOUNT \
    --image-type=WINDOWS_IMAGE_NAME \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --location=ZONE_OR_REGION \
    --no-enable-autoupgrade

Puede sustituir los marcadores de posición de la marca --metadata por los valores correspondientes, tal como se describe en la sección metadatos.

Para obtener más información sobre este comando de gcloud CLI, consulta gcloud container node-pools create.

Siguientes pasos

Unir automáticamente una VM de Windows a un dominio.

Unir automáticamente nodos de Windows Server de GKE a un dominio de Microsoft AD gestionado Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.