Associer automatiquement des nœuds GKE Windows Server à un domaine Microsoft AD géré

Cette page explique comment joindre les nœuds Windows Server de votre cluster Google Kubernetes Engine (GKE) à un domaine Microsoft AD géré à l'aide de la fonctionnalité de jointure de domaine automatique.

Comment Microsoft AD géré associe automatiquement des nœuds Windows Server à un domaine

Lorsque vous créez un pool de nœuds dans votre cluster GKE, vous pouvez utiliser les scripts prêts à l'emploi disponibles dans Microsoft AD géré pour rejoindre automatiquement votre domaine Microsoft AD géré. Une fois que GKE a créé le pool de nœuds, Managed Microsoft AD lance la requête d'association au domaine et tente d'associer les nœuds à votre domaine. Si la requête d'association au domaine aboutit, Microsoft AD géré associe les nœuds à votre domaine. Si la requête d'association au domaine échoue, les nœuds créés continuent de s'exécuter. Vous devez consulter les journaux pour identifier et corriger le problème avant de créer à nouveau le pool de nœuds. Pour en savoir plus, consultez la section Afficher les journaux de débogage.

Dans certains cas, vous devez nettoyer manuellement les informations sur les nœuds non associés à partir de Microsoft AD géré. Pour en savoir plus, consultez la section Nettoyer les VM non associées.

Vous ne pouvez pas mettre à jour un pool de nœuds existant avec les scripts de jonction de domaine pour joindre automatiquement les nœuds existants à votre domaine.

La fonctionnalité d'association automatique au domaine ne configure pas les nœuds GKE pour qu'ils s'exécutent avec gMSA à des fins d'authentification. Toutefois, vous pouvez créer manuellement un gMSA dans AD Microsoft géré et configurer les nœuds GKE pour qu'ils l'utilisent. Pour en savoir plus sur la configuration de gMSA pour les nœuds GKE, consultez Configurer gMSA pour les conteneurs et les pods Windows.

Avant de commencer

1. Créez un domaine Microsoft AD géré.

2. Créez un cluster GKE à l'aide de pools de nœuds Windows Server.

3. Assurez-vous que les nœuds Windows Server s'exécutent sur une version de Windows compatible avec AD Microsoft géré.

4. Configurez l'appairage de domaines entre le domaine Microsoft AD géré et le réseau des nœuds, ou placez le domaine Microsoft AD géré et les nœuds sur le même réseau.

5. Créez un compte de service avec le rôle IAM Google Cloud Managed Identities Domain Join (roles/managedidentities.domainJoin) dans le projet contenant le domaine Microsoft AD géré. Pour en savoir plus, consultez la section Rôles des identités gérées dans le cloud.

   • Pour en savoir plus sur l'attribution de rôles, consultez la section Attribuer un rôle unique.

   • Pour en savoir plus sur la création d'un compte de service, consultez la page Authentifier des charges de travail à l'aide des comptes de service.

6. Définissez l'niveau d'accès cloud-platform complète sur les nœuds Windows Server. Pour en savoir plus, consultez la section Autorisation.

Métadonnées

Vous avez besoin des clés de métadonnées suivantes pour joindre vos nœuds Windows Server à un domaine.

• windows-startup-script-url
• managed-ad-domain
• Facultatif : enable-guest-attributes.
• Facultatif : managed-ad-ou-name.
• Facultatif : managed-ad-force.

Pour en savoir plus sur ces clés de métadonnées, consultez la section Métadonnées.

La requête d'association au domaine échoue lorsque le compte d'ordinateur d'un nœud Windows Server existe déjà dans Microsoft AD géré. Pour que Managed Microsoft AD réutilise le compte d'ordinateur existant lors du processus d'association au domaine, vous pouvez utiliser la clé de métadonnées managed-ad-force lorsque vous créez le pool de nœuds.

Associer des nœuds Windows Server

Vous pouvez configurer ces clés de métadonnées lorsque vous ajoutez un pool de nœuds Windows Server à votre cluster GKE. Cette section explique comment utiliser ces clés de métadonnées dans les commandes de gcloud CLI lorsque vous créez un pool de nœuds.

Toutefois, vous pouvez également utiliser ces clés de métadonnées lorsque vous créez un pool de nœuds à l'aide des autres options disponibles. Pour en savoir plus, consultez la page Ajouter et gérer des pools de nœuds.

Pour créer un pool de nœuds et rejoindre les nœuds Windows Server, exécutez la commande gcloud CLI suivante:

gcloud container node-pools create NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    "--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
    --service-account=SERVICE_ACCOUNT \
    --image-type=WINDOWS_IMAGE_NAME \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --location=ZONE_OR_REGION \
    --no-enable-autoupgrade

Vous pouvez remplacer les espaces réservés de l'indicateur --metadata par des valeurs pertinentes, comme décrit dans la section métadonnées.

Pour en savoir plus sur cette commande de la gcloud CLI, consultez gcloud container node-pools create.

Étape suivante

• Associez automatiquement une VM Windows à un domaine.