En esta página, se explica cómo unir nodos de Windows Server en tu clúster de Google Kubernetes Engine (GKE) a un dominio administrado de Microsoft AD mediante la función de unión automatizada de dominios.
Cómo Microsoft AD administrado une automáticamente los nodos de Windows Server a un dominio
Cuando creas un grupo de nodos en tu clúster de GKE, puedes usar las secuencias de comandos listas para usar que están disponibles en Microsoft AD administrado para unir automáticamente tu dominio de Microsoft AD administrado. Después de que GKE crea el grupo de nodos, Microsoft AD administrado inicia la solicitud de unión al dominio y trata de unir los nodos con tu dominio. Si la solicitud de unión al dominio se realiza de forma correcta, Microsoft AD administrado une los nodos a tu dominio. Si la solicitud para unirse al dominio falla, los nodos creados seguirán ejecutándose. Debes verificar los registros para identificar y solucionar el problema antes de volver a crear el grupo de nodos. Para obtener más información, consulta Ver registros de depuración.
En algunas situaciones específicas, debes limpiar la información sobre los nodos no unidos de forma manual desde Microsoft AD administrado. Para obtener más información, consulta Limpia VM no unidas.
No puedes actualizar un grupo de nodos existente con las secuencias de comandos de unión del dominio para unir automáticamente los nodos existentes a tu dominio.
La función de unión automatizada de dominios no configura los nodos de GKE con el fin de que se ejecuten con gMSA para la autenticación. Sin embargo, puedes crear un gMSA de forma manual en Microsoft AD administrado y configurar los nodos de GKE para usar gMSA. Si quieres obtener información sobre cómo configurar gMSA para los nodos de GKE, consulta Configura gMSA para pods y contenedores de Windows.
Antes de comenzar
Crea un clúster de GKE con grupos de nodos de Windows Server.
Asegúrate de que los nodos de Windows Server se ejecuten en una versión de Windows compatible con Microsoft AD administrado.
Configura el intercambio de tráfico de dominios entre el dominio de Microsoft AD administrado y la red de los nodos, o ten el dominio de Microsoft AD administrado y los nodos en la misma red.
Crea una cuenta de servicio con la función de IAM de unión de dominios de identidades administradas de Google Cloud (
roles/managedidentities.domainJoin
) en el proyecto que tiene el dominio de Microsoft AD administrado. Para obtener más información, consulta Funciones de identidades administradas de Cloud.Para obtener más información sobre cómo otorgar funciones, consulta Cómo otorgar una sola función.
Para obtener información sobre cómo crear una cuenta de servicio, consulta Autentica cargas de trabajo con cuentas de servicio.
Establece el permiso de acceso
cloud-platform
completo en los nodos de Windows Server. Para obtener más información, consulta Autorización.
Metadata
Necesitas las siguientes claves de metadatos para unir tus nodos de Windows Server a un dominio.
windows-startup-script-url
managed-ad-domain
- Opcional:
enable-guest-attributes
- Opcional:
managed-ad-ou-name
- Opcional:
managed-ad-force
Para obtener más información sobre estas claves de metadatos, consulta Metadatos.
La solicitud de unión al dominio falla cuando la cuenta de computadora de un nodo de Windows Server ya existe en Microsoft AD administrado. Para que Microsoft AD administrado vuelva a usar la cuenta de computadora existente durante el proceso de unión del dominio, puedes usar la clave de metadatos managed-ad-force
cuando crees el grupo de nodos.
Unir nodos de Windows Server
Puedes configurar estas claves de metadatos cuando agregas un grupo de nodos de Windows Server a tu clúster de GKE. En esta sección, se ilustra cómo usar estas claves de metadatos en los comandos de gcloud CLI cuando creas un grupo de nodos.
Sin embargo, también puedes usar estas claves de metadatos cuando creas un grupo de nodos mediante las otras opciones disponibles. Para obtener más información, consulta Agrega y administra grupos de nodos.
Para crear un grupo de nodos y unir los nodos de Windows Server, ejecuta el siguiente comando de gcloud CLI:
gcloud container node-pools create NODE_POOL_NAME \ --cluster=CLUSTER_NAME \ "--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \ --service-account=SERVICE_ACCOUNT \ --image-type=WINDOWS_IMAGE_NAME \ --scopes=https://www.googleapis.com/auth/cloud-platform \ --location=ZONE_OR_REGION \ --no-enable-autoupgrade
Puedes reemplazar los marcadores de posición en la marca --metadata
por valores relevantes, como se describe en la sección metadatos.
Para obtener más información sobre este comando de gcloud CLI, consulta gcloud container node-pools create.