En esta página, se explica cómo unir nodos de Windows Server en tu clúster de Google Kubernetes Engine (GKE) a un dominio de Microsoft AD administrado con la función de unión de dominios automatizada.
Cómo Microsoft AD administrado une automáticamente nodos de Windows Server a un dominio
Cuando creas un grupo de nodos en tu clúster de GKE, puedes usar las secuencias de comandos listas para usar que están disponibles en Microsoft AD administrado para unirte automáticamente a tu dominio de Microsoft AD administrado. Después de que GKE crea el grupo de nodos, Microsoft AD administrado inicia la solicitud de unión de dominios y, luego, intenta unir los nodos con tu dominio. Si la solicitud de unión de dominio se realiza correctamente, Microsoft AD administrado une los nodos a tu dominio. Si falla la solicitud de unión de dominios, los nodos creados siguen ejecutándose. Debes revisar los registros para identificar y corregir el problema antes de volver a crear el grupo de nodos. Para obtener más información, consulta Cómo ver los registros de depuración.
En algunos casos específicos, debes limpiar de forma manual la información sobre los nodos no unidos desde Microsoft AD administrado. Para obtener más información, consulta Cómo limpiar las VMs que no se unieron.
No puedes actualizar un grupo de nodos existente con las secuencias de comandos de unión de dominios para unir automáticamente los nodos existentes a tu dominio.
La función de unión de dominios automatizada no configura los nodos de GKE para que se ejecuten con gMSA para la autenticación. Sin embargo, puedes crear una gMSA de forma manual en Microsoft AD administrado y configurar los nodos de GKE para que la usen. Si deseas obtener información para configurar gMSA para los nodos de GKE, consulta Configura gMSA para contenedores y pods de Windows.
Antes de comenzar
Crea un clúster de GKE con grupos de nodos de Windows Server.
Asegúrate de que los nodos de Windows Server se ejecuten en una versión de Windows que admita Microsoft AD administrado.
Configura el intercambio de tráfico entre dominios entre el dominio de Microsoft AD administrado y la red de los nodos, o bien coloca el dominio de Microsoft AD administrado y los nodos en la misma red.
Crea una cuenta de servicio con el rol de IAM de Unión de dominios de identidades administradas de Google Cloud (
roles/managedidentities.domainJoin) en el proyecto que tiene el dominio de Microsoft AD administrado. Para obtener más información, consulta Roles de identidades administradas en la nube.Para obtener más información sobre cómo otorgar roles, consulta Otorga un solo rol.
Para obtener información sobre cómo crear una cuenta de servicio, consulta Autentica cargas de trabajo con cuentas de servicio.
Configura el permiso de acceso completo de
cloud-platformen los nodos de Windows Server. Para obtener más información, consulta Autorización.
Metadatos
Necesitas las siguientes claves de metadatos para unir tus nodos de Windows Server a un dominio.
windows-startup-script-urlmanaged-ad-domain- Opcional:
enable-guest-attributes - Opcional:
managed-ad-ou-name - Opcional:
managed-ad-force
Para obtener más información sobre estas claves de metadatos, consulta Metadatos.
La solicitud de unión de dominios falla cuando la cuenta de computadora de un nodo de Windows Server ya existe en Microsoft AD administrado. Para que Microsoft AD administrado vuelva a usar la cuenta de computadora existente durante el proceso de unión de dominios, puedes usar la clave de metadatos managed-ad-force cuando crees el grupo de nodos.
Cómo unir nodos de Windows Server
Puedes configurar estas claves de metadatos cuando agregas un grupo de nodos de Windows Server a tu clúster de GKE. En esta sección, se muestra cómo usar estas claves de metadatos en los comandos de gcloud CLI cuando creas un grupo de nodos.
Sin embargo, también puedes usar estas claves de metadatos cuando creas un grupo de nodos con las otras opciones disponibles. Para obtener más información, consulta Cómo agregar y administrar grupos de nodos.
Para crear un grupo de nodos y unir los nodos de Windows Server, ejecuta el siguiente comando de gcloud CLI:
gcloud container node-pools create NODE_POOL_NAME \
--cluster=CLUSTER_NAME \
"--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
--service-account=SERVICE_ACCOUNT \
--image-type=WINDOWS_IMAGE_NAME \
--scopes=https://www.googleapis.com/auth/cloud-platform \
--location=ZONE_OR_REGION \
--no-enable-autoupgrade
Puedes reemplazar los marcadores de posición en la marca --metadata por valores relevantes, como se describe en la sección metadatos.
Para obtener más información sobre este comando de gcloud CLI, consulta gcloud container node-pools create.