GKE-Windows Server-Knoten automatisch mit einer verwalteten Microsoft AD-Domain verknüpfen

Auf dieser Seite wird erläutert, wie Sie Windows Server-Knoten in Ihrem Google Kubernetes Engine-Cluster (GKE) zu einer verwalteten Microsoft AD-Domain mithilfe von den automatisierten Domainbeitritt .

So verbindet Managed Microsoft AD Windows Server-Knoten automatisch mit einer Domain

Wenn Sie einen Knotenpool in Ihr GKE Cluster können Sie den Scripts, die in Managed Microsoft AD verfügbar sind, automatisch Ihrer Managed Microsoft AD-Domain beitreten. Nachher GKE erstellt den Knotenpool „Managed Microsoft AD“ initiiert die Anfrage zum Domainbeitritt und versucht, die Knoten mit Ihrem . Wenn die Domainbeitrittsanfrage erfolgreich ist, werden die Knoten von Managed Microsoft AD Ihrer Domain beigetreten. Wenn die Domainbeitrittsanfrage fehlschlägt, werden die erstellten Knoten weiter ausgeführt. Sie müssen die Logs prüfen, um das Problem zu identifizieren und zu beheben bevor Sie den Knotenpool neu erstellen. Weitere Informationen finden Sie unter Fehlerbehebung ansehen Logs

In bestimmten Fällen müssen Sie die Informationen zu nicht verbundenen Knoten manuell aus Managed Microsoft AD bereinigen. Weitere Informationen finden Sie unter Nicht verknüpfte Dateien bereinigen VMs:

Sie können einen vorhandenen Knotenpool nicht aktualisieren, wenn die Skripts für Domainbeitritt zu vorhandene Knoten automatisch mit Ihrer Domain verbinden.

Mit der Funktion zum automatischen Domainbeitritt wird die GKE nicht konfiguriert. Knoten für die Ausführung gMSA zur Authentifizierung. Sie können jedoch manuell ein gMSA in Managed Microsoft AD und Konfigurieren Sie die GKE-Knoten für die Verwendung des gMSA. Weitere Informationen Informationen zum Konfigurieren eines gMSA für die GKE-Knoten finden Sie unter Konfigurieren eines gMSA gMSA für Windows-Pods und Container.

Hinweis

  1. Erstellen Sie eine Managed Microsoft AD-Domain.

  2. GKE-Cluster mit Windows Server-Knoten erstellen Pools

  3. Stellen Sie sicher, dass die Windows Server-Knoten unter einer Windows-Version ausgeführt werden, die Verwaltetes Microsoft AD unterstützt.

  4. Konfigurieren Sie das Domain-Peering zwischen der Managed Microsoft AD-Domain und dem Netzwerk der Knoten oder befinden Sie sich sowohl mit der Managed Microsoft AD-Domain als auch mit den Knoten im selben Netzwerk.

  5. Erstellen Sie ein Dienstkonto mit der IAM-Rolle „Google Cloud Managed Identities Domain Join“ (roles/managedidentities.domainJoin) für das Projekt mit der verwalteten Microsoft AD-Domain. Weitere Informationen finden Sie unter Rollen für verwaltete Identitäten in der Cloud.

  6. Legen Sie den vollständigen Zugriffsbereich cloud-platform auf den Windows Server-Knoten fest. Weitere Informationen finden Sie unter Autorisierung.

Metadaten

Sie benötigen die folgenden Metadatenschlüssel, um Ihre Windows Server-Knoten einer Domain beitreten zu lassen.

  • windows-startup-script-url
  • managed-ad-domain
  • Optional: enable-guest-attributes
  • Optional: managed-ad-ou-name
  • Optional: managed-ad-force

Weitere Informationen zu diesen Metadatenschlüsseln finden Sie unter Metadaten.

Die Anfrage zum Domainbeitritt schlägt fehl, wenn das Computerkonto eines Windows Server-Knotens ist bereits in Managed Microsoft AD vorhanden. Für Managed Microsoft AD das vorhandene Computerkonto während des Domainbeitritts wiederverwenden, Metadatenschlüssel managed-ad-force beim Erstellen des Knotens Pool.

Windows Server-Knoten beitreten

Sie können diese Metadatenschlüssel konfigurieren, wenn Sie Ihrem GKE-Cluster einen Windows Server-Knotenpool hinzufügen. In diesem Abschnitt wird erläutert, wie Sie diese Metadatenschlüssel in gcloud CLI-Befehlen verwenden, wenn Sie einen Knotenpool erstellen.

Sie können diese Metadatenschlüssel jedoch auch verwenden, wenn Sie einen Knotenpool mit den anderen verfügbaren Optionen erstellen. Weitere Informationen finden Sie unter Knotenpools hinzufügen und verwalten.

Führen Sie den folgenden gcloud CLI-Befehl aus, um einen Knotenpool zu erstellen und die Windows Server-Knoten zu verbinden:

gcloud container node-pools create NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    "--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
    --service-account=SERVICE_ACCOUNT \
    --image-type=WINDOWS_IMAGE_NAME \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --location=ZONE_OR_REGION \
    --no-enable-autoupgrade

Sie können die Platzhalter im Flag --metadata durch relevante Werte ersetzen wie in den Metadaten .

Weitere Informationen zu diesem gcloud CLI-Befehl finden Sie unter gcloud container node-pools create.

Nächste Schritte