Aggiungere automaticamente i nodi Windows Server di GKE a un dominio Microsoft AD gestito

Questa pagina spiega come aggiungere i nodi Windows Server nel tuo cluster Google Kubernetes Engine (GKE) a un dominio Microsoft AD gestito utilizzando la funzionalità di adesione al dominio automatica.

In che modo Microsoft AD gestito connette automaticamente i nodi Windows Server a un dominio

Quando crei un node pool nel cluster GKE, puoi utilizzare gli script predefiniti disponibili in Managed Microsoft AD per eseguire l'unione automatica al tuo dominio Managed Microsoft AD. Dopo che GKE ha creato il pool di nodi, Managed Microsoft AD avvia la richiesta di adesione al dominio e tenta di unire i nodi al tuo dominio. Se la richiesta di unione al dominio va a buon fine, Microsoft AD gestito unisce i nodi al tuo dominio. Se la richiesta di unione al dominio non va a buon fine, i nodi creati continuano a funzionare. Devi controllare i log per identificare e risolvere il problema prima di creare di nuovo il pool di nodi. Per ulteriori informazioni, consulta la sezione Visualizzare i log di debug.

In alcuni scenari specifici, devi ripulire manualmente le informazioni sui nodi non uniti da AD Microsoft gestito. Per ulteriori informazioni, consulta Eseguire la pulizia delle VM non unite.

Non puoi aggiornare un pool di nodi esistente con gli script di unione al dominio per collegare automaticamente i nodi esistenti al tuo dominio.

La funzionalità di adesione al dominio automatico non configura i nodi GKE per l'esecuzione con gMSA per l'autenticazione. Tuttavia, puoi creare manualmente un account gMSA in AD di Microsoft gestito e configurare i nodi GKE in modo che utilizzino l'account gMSA. Per informazioni sulla configurazione di gMSA per i nodi GKE, consulta Configurare gMSA per i pod e i contenitori Windows.

Prima di iniziare

  1. Crea un dominio Microsoft AD gestito.

  2. Crea un cluster GKE utilizzando i pool di nodi Windows Server.

  3. Assicurati che i nodi Windows Server funzionino su una versione di Windows supportata da AD di Microsoft gestito.

  4. Configura il peering del dominio tra il dominio Microsoft Active Directory gestito e la rete dei nodi oppure posiziona sia il dominio Microsoft Active Directory gestito sia i nodi nella stessa rete.

  5. Crea un account di servizio con il ruolo IAM Join di dominio per le identità gestite di Google Cloud (roles/managedidentities.domainJoin) nel progetto che ha il dominio Microsoft AD gestito. Per ulteriori informazioni, consulta la pagina Ruoli di Cloud Identity gestite.

  6. Imposta l'ambito di accesso completo a cloud-platform sui nodi Windows Server. Per maggiori informazioni, consulta Autorizzazione.

Metadati

Per connettere i nodi Windows Server a un dominio, sono necessarie le seguenti chiavi dei metadati.

  • windows-startup-script-url
  • managed-ad-domain
  • (Facoltativo) enable-guest-attributes
  • (Facoltativo) managed-ad-ou-name
  • (Facoltativo) managed-ad-force

Per ulteriori informazioni su queste chiavi dei metadati, consulta Metadati.

La richiesta di adesione al dominio non va a buon fine quando l'account computer di un nodo Windows Server esiste già in AD Microsoft gestito. Affinché AD Microsoft gestito possa riutilizzare l'account computer esistente durante la procedura di adesione al dominio, puoi utilizzare la chiave dei metadati managed-ad-force quando crei il pool di nodi.

Unire i nodi Windows Server

Puoi configurare queste chiavi metadati quando aggiungi un pool di nodi Windows Server al tuo cluster GKE. Questa sezione illustra come utilizzare queste chiavi dei metadati nei comandi gcloud CLI quando crei un pool di nodi.

Tuttavia, puoi utilizzare queste chiavi dei metadati anche quando crei un pool di nodi utilizzando le altre opzioni disponibili. Per saperne di più, consulta Aggiungere e gestire i pool di nodi.

Per creare un pool di nodi e unire i nodi Windows Server, esegui il seguente comando gcloud CLI:

gcloud container node-pools create NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    "--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
    --service-account=SERVICE_ACCOUNT \
    --image-type=WINDOWS_IMAGE_NAME \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --location=ZONE_OR_REGION \
    --no-enable-autoupgrade

Puoi sostituire i segnaposto nel flag --metadata con valori pertinenti come descritto nella sezione metadati.

Per ulteriori informazioni su questo comando gcloud CLI, consulta gcloud container node-pools create.

Passaggi successivi