Associer automatiquement des nœuds GKE Windows Server à un domaine Microsoft AD géré

Cette page explique comment joindre des nœuds Windows Server dans votre un cluster Google Kubernetes Engine (GKE) vers un domaine Microsoft AD géré en utilisant la jointure automatique de domaine .

Comment le service Microsoft AD géré joint automatiquement les nœuds Windows Server à un domaine

Lorsque vous créez un pool de nœuds dans votre environnement GKE d'assistance, vous pouvez utiliser des scripts prêts à l'emploi disponibles depuis le service Microsoft AD géré pour automatiquement à votre domaine Microsoft AD géré. Après GKE crée le pool de nœuds, le service Microsoft AD géré lance la demande d'association au domaine et tente de joindre les nœuds à votre domaine. Si la demande d'association au domaine aboutit, le service Microsoft AD géré joint les nœuds à votre domaine. Si la requête d'association au domaine échoue, les nœuds créés continuent de s'exécuter. Vous devez consulter les journaux pour identifier et corriger le problème avant de créer à nouveau le pool de nœuds. Pour en savoir plus, consultez la section Afficher les journaux de débogage.

Dans certains cas, vous devez nettoyer manuellement les informations sur les nœuds non associés à partir de Microsoft AD géré. Pour en savoir plus, consultez Supprimer les éléments non associés des VM.

Vous ne pouvez pas mettre à jour un pool de nœuds existant avec les scripts de jonction de domaine vers automatiquement les nœuds existants à votre domaine.

La fonctionnalité de jointure automatique de domaines ne configure pas les clusters GKE de nœuds à exécuter gMSA pour l'authentification. Toutefois, vous pouvez créer manuellement un gMSA dans AD Microsoft géré et configurer les nœuds GKE pour qu'ils l'utilisent. Pour en savoir plus sur la configuration de gMSA pour les nœuds GKE, consultez Configurer gMSA pour les conteneurs et les pods Windows.

Avant de commencer

1. Créez un domaine Microsoft AD géré.

2. Créez un cluster GKE à l'aide de pools de nœuds Windows Server.

3. Assurez-vous que les nœuds Windows Server s'exécutent sur une version de Windows Service Microsoft AD géré compatibles.

4. Configurer le domaine d'appairage entre Le domaine Microsoft AD géré et les nœuds ou si les deux Le domaine Microsoft AD géré et les nœuds du même réseau

5. Créer un compte de service avec le domaine Google Cloud Managed Identities Rôle IAM de jointure (roles/managedidentities.domainJoin) sur le qui inclut le domaine Microsoft AD géré. Pour en savoir plus, consultez la section Rôles des identités gérées dans le cloud.

   • Pour en savoir plus sur l'attribution de rôles, consultez la section Attribuer un rôle unique.

   • Pour en savoir plus sur la création d'un compte de service, consultez la page Authentifier des charges de travail à l'aide des comptes de service.

6. Définissez l'étendue d'accès cloud-platform complète sur les nœuds Windows Server. Pour en savoir plus, consultez la section Autorisation.

Métadonnées

Vous avez besoin des clés de métadonnées suivantes pour associer vos nœuds Windows Server à un domaine.

• windows-startup-script-url
• managed-ad-domain
• Facultatif : enable-guest-attributes.
• Facultatif : managed-ad-ou-name.
• Facultatif : managed-ad-force.

Pour en savoir plus sur ces clés de métadonnées, consultez la section Métadonnées.

La demande de jointure de domaine échoue lorsque le compte d'ordinateur d'un nœud Windows Server échoue existe déjà dans le service Microsoft AD géré. Pour que Managed Microsoft AD réutilise le compte d'ordinateur existant lors du processus d'association au domaine, vous pouvez utiliser la clé de métadonnées managed-ad-force lorsque vous créez le pool de nœuds.

Associer des nœuds Windows Server

Vous pouvez configurer ces clés de métadonnées lorsque vous ajoutez un pool de nœuds Windows Server à votre cluster GKE. Ce montrant comment utiliser ces clés de métadonnées dans la gcloud CLI lorsque vous créez un pool de nœuds.

Toutefois, vous pouvez également utiliser ces clés de métadonnées lorsque vous créez un pool de nœuds à l'aide des autres options disponibles. Pour en savoir plus, consultez la page Ajouter et gérer des pools de nœuds.

Pour créer un pool de nœuds et rejoindre les nœuds Windows Server, exécutez la commande CLI gcloud suivante :

gcloud container node-pools create NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    "--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
    --service-account=SERVICE_ACCOUNT \
    --image-type=WINDOWS_IMAGE_NAME \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --location=ZONE_OR_REGION \
    --no-enable-autoupgrade

Vous pouvez remplacer les espaces réservés dans l'option --metadata par les valeurs appropriées comme décrit dans le métadonnées .

Pour en savoir plus sur cette commande de la CLI gcloud, consultez gcloud container node-pools create.

Étape suivante

• Associez automatiquement une VM Windows à un domaine.