Auf dieser Seite wird beschrieben, wie Sie Windows Server-Knoten in Ihrem GKE-Cluster (Google Kubernetes Engine) mithilfe der Funktion Automatischer Domainbeitritt einer verwalteten Microsoft AD-Domain beitreten.
So werden Windows Server-Knoten in Managed Microsoft AD automatisch einer Domain beigetreten
Wenn Sie einen Knotenpool in Ihrem GKE-Cluster erstellen, können Sie die vordefinierten Scripts von Managed Microsoft AD verwenden, um automatisch der Managed Microsoft AD-Domain beizutreten. Nachdem GKE den Knotenpool erstellt hat, löst Managed Microsoft AD die Domainbeitrittsanfrage aus und versucht, die Knoten mit Ihrer Domain zu verbinden. Wenn die Domainbeitrittsanfrage erfolgreich ist, werden die Knoten von Managed Microsoft AD Ihrer Domain beigetreten. Wenn die Anfrage zum Domainbeitritt fehlschlägt, werden die erstellten Knoten weiterhin ausgeführt. Sie müssen die Protokolle prüfen, um das Problem zu identifizieren und zu beheben, bevor Sie den Knotenpool noch einmal erstellen. Weitere Informationen finden Sie unter Debug-Logs ansehen.
In bestimmten Fällen müssen Sie die Informationen zu nicht verbundenen Knoten manuell aus Managed Microsoft AD bereinigen. Weitere Informationen finden Sie unter Nicht verbundene VMs bereinigen.
Sie können einen vorhandenen Knotenpool nicht mit den Scripts für den Domainbeitritt aktualisieren, um die vorhandenen Knoten automatisch mit Ihrer Domain zu verknüpfen.
Die Funktion für den automatischen Domainbeitritt konfiguriert die GKE-Knoten nicht für die Ausführung mit gMSA zur Authentifizierung. Sie können jedoch manuell ein gMSA in verwaltetem Microsoft AD erstellen und die GKE-Knoten für die Verwendung des gMSA konfigurieren. Informationen zum Konfigurieren von gMSA für die GKE-Knoten finden Sie unter GMSA für Windows-Pods und -Container konfigurieren.
Hinweise
Achten Sie darauf, dass auf den Windows Server-Knoten eine von Managed Microsoft AD unterstützte Windows-Version ausgeführt wird.
Konfigurieren Sie das Domain-Peering zwischen der Managed Microsoft AD-Domain und dem Netzwerk der Knoten oder befinden Sie sich sowohl mit der Managed Microsoft AD-Domain als auch mit den Knoten im selben Netzwerk.
Erstellen Sie ein Dienstkonto mit der IAM-Rolle „Google Cloud Managed Identities Domain Join“ (
roles/managedidentities.domainJoin) für das Projekt mit der verwalteten Microsoft AD-Domain. Weitere Informationen finden Sie unter Rollen für verwaltete Identitäten in der Cloud.Weitere Informationen zum Zuweisen von Rollen finden Sie unter Einzelne Rolle zuweisen.
Informationen zum Erstellen eines Dienstkontos finden Sie unter Arbeitslasten mit Dienstkonten authentifizieren.
Legen Sie den vollständigen
cloud-platform-Zugriffsbereich auf den Windows Server-Knoten fest. Weitere Informationen finden Sie unter Autorisierung.
Metadaten
Sie benötigen die folgenden Metadatenschlüssel, um Ihre Windows Server-Knoten einer Domain beitreten zu lassen.
windows-startup-script-urlmanaged-ad-domain- Optional:
enable-guest-attributes - Optional:
managed-ad-ou-name - Optional:
managed-ad-force
Weitere Informationen zu diesen Metadatenschlüsseln finden Sie unter Metadaten.
Die Domainbeitrittsanfrage schlägt fehl, wenn das Computerkonto eines Windows Server-Knotens bereits in Managed Microsoft AD vorhanden ist. Damit Managed Microsoft AD das vorhandene Computerkonto während des Domainbeitritts wiederverwenden kann, können Sie den Metadatenschlüssel managed-ad-force beim Erstellen des Knotenpools verwenden.
Windows Server-Knoten beitreten
Sie können diese Metadatenschlüssel konfigurieren, wenn Sie Ihrem GKE-Cluster einen Windows Server-Knotenpool hinzufügen. In diesem Abschnitt wird erläutert, wie Sie diese Metadatenschlüssel in gcloud CLI-Befehlen verwenden, wenn Sie einen Knotenpool erstellen.
Sie können diese Metadatenschlüssel jedoch auch verwenden, wenn Sie einen Knotenpool mit den anderen verfügbaren Optionen erstellen. Weitere Informationen finden Sie unter Knotenpools hinzufügen und verwalten.
Führen Sie den folgenden gcloud CLI-Befehl aus, um einen Knotenpool zu erstellen und die Windows Server-Knoten zu verbinden:
gcloud container node-pools create NODE_POOL_NAME \
--cluster=CLUSTER_NAME \
"--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
--service-account=SERVICE_ACCOUNT \
--image-type=WINDOWS_IMAGE_NAME \
--scopes=https://www.googleapis.com/auth/cloud-platform \
--location=ZONE_OR_REGION \
--no-enable-autoupgrade
Sie können die Platzhalter im --metadata-Flag durch relevante Werte ersetzen, wie im Abschnitt Metadaten beschrieben.
Weitere Informationen zu diesem gcloud CLI-Befehl finden Sie unter gcloud container node-pools create.