Auf dieser Seite wird erläutert, wie Sie Windows Server-Knoten in Ihrem Google Kubernetes Engine-Cluster (GKE) zu einer verwalteten Microsoft AD-Domain mithilfe von den automatisierten Domainbeitritt .
So verbindet Managed Microsoft AD Windows Server-Knoten automatisch mit einer Domain
Wenn Sie einen Knotenpool in Ihr GKE Cluster können Sie den Scripts, die in Managed Microsoft AD verfügbar sind, automatisch Ihrer Managed Microsoft AD-Domain beitreten. Nachher GKE erstellt den Knotenpool „Managed Microsoft AD“ initiiert die Anfrage zum Domainbeitritt und versucht, die Knoten mit Ihrem . Wenn die Domainbeitrittsanfrage erfolgreich ist, werden die Knoten von Managed Microsoft AD Ihrer Domain beigetreten. Wenn die Domainbeitrittsanfrage fehlschlägt, werden die erstellten Knoten weiter ausgeführt. Sie müssen die Logs prüfen, um das Problem zu identifizieren und zu beheben bevor Sie den Knotenpool neu erstellen. Weitere Informationen finden Sie unter Fehlerbehebung ansehen Logs
In bestimmten Fällen müssen Sie die Informationen zu nicht verbundenen Knoten manuell aus Managed Microsoft AD bereinigen. Weitere Informationen finden Sie unter Nicht verknüpfte Dateien bereinigen VMs:
Sie können einen vorhandenen Knotenpool nicht aktualisieren, wenn die Skripts für Domainbeitritt zu vorhandene Knoten automatisch mit Ihrer Domain verbinden.
Mit der Funktion zum automatischen Domainbeitritt wird die GKE nicht konfiguriert. Knoten für die Ausführung gMSA zur Authentifizierung. Sie können jedoch manuell ein gMSA in Managed Microsoft AD und Konfigurieren Sie die GKE-Knoten für die Verwendung des gMSA. Weitere Informationen Informationen zum Konfigurieren eines gMSA für die GKE-Knoten finden Sie unter Konfigurieren eines gMSA gMSA für Windows-Pods und Container.
Hinweis
Stellen Sie sicher, dass die Windows Server-Knoten unter einer Windows-Version ausgeführt werden, die Verwaltetes Microsoft AD unterstützt.
Konfigurieren Sie das Domain-Peering zwischen der Managed Microsoft AD-Domain und dem Netzwerk der Knoten oder befinden Sie sich sowohl mit der Managed Microsoft AD-Domain als auch mit den Knoten im selben Netzwerk.
Erstellen Sie ein Dienstkonto mit der IAM-Rolle „Google Cloud Managed Identities Domain Join“ (
roles/managedidentities.domainJoin
) für das Projekt mit der verwalteten Microsoft AD-Domain. Weitere Informationen finden Sie unter Rollen für verwaltete Identitäten in der Cloud.Weitere Informationen zum Zuweisen von Rollen finden Sie unter Einzelnen Rolle.
Informationen zum Erstellen eines Dienstkontos finden Sie unter Authentifizieren Arbeitslasten, die den Dienst verwenden Konten
Legen Sie den vollständigen Zugriffsbereich
cloud-platform
auf den Windows Server-Knoten fest. Weitere Informationen finden Sie unter Autorisierung.
Metadaten
Sie benötigen die folgenden Metadatenschlüssel, um Ihre Windows Server-Knoten einer Domain beitreten zu lassen.
windows-startup-script-url
managed-ad-domain
- Optional:
enable-guest-attributes
- Optional:
managed-ad-ou-name
- Optional:
managed-ad-force
Weitere Informationen zu diesen Metadatenschlüsseln finden Sie unter Metadaten.
Die Anfrage zum Domainbeitritt schlägt fehl, wenn das Computerkonto eines Windows Server-Knotens
ist bereits in Managed Microsoft AD vorhanden. Für Managed Microsoft AD
das vorhandene Computerkonto während des Domainbeitritts wiederverwenden,
Metadatenschlüssel managed-ad-force
beim Erstellen des Knotens
Pool.
Windows Server-Knoten beitreten
Sie können diese Metadatenschlüssel konfigurieren, wenn Sie Ihrem GKE-Cluster einen Windows Server-Knotenpool hinzufügen. In diesem Abschnitt wird erläutert, wie Sie diese Metadatenschlüssel in gcloud CLI-Befehlen verwenden, wenn Sie einen Knotenpool erstellen.
Sie können diese Metadatenschlüssel jedoch auch verwenden, wenn Sie einen Knotenpool mit den anderen verfügbaren Optionen erstellen. Weitere Informationen finden Sie unter Knotenpools hinzufügen und verwalten.
Führen Sie den folgenden gcloud CLI-Befehl aus, um einen Knotenpool zu erstellen und die Windows Server-Knoten zu verbinden:
gcloud container node-pools create NODE_POOL_NAME \ --cluster=CLUSTER_NAME \ "--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \ --service-account=SERVICE_ACCOUNT \ --image-type=WINDOWS_IMAGE_NAME \ --scopes=https://www.googleapis.com/auth/cloud-platform \ --location=ZONE_OR_REGION \ --no-enable-autoupgrade
Sie können die Platzhalter im Flag --metadata
durch relevante Werte ersetzen
wie in den
Metadaten
.
Weitere Informationen zu diesem gcloud CLI-Befehl finden Sie unter gcloud container node-pools create.