Unisci automaticamente i nodi GKE Windows Server a un dominio Microsoft AD gestito

Questa pagina spiega come unire i nodi Windows Server nel tuo dal cluster Google Kubernetes Engine (GKE) a un dominio Microsoft Active Directory gestito utilizzando l'unione automatica al dominio funzionalità.

Come Managed Microsoft AD unisce automaticamente i nodi Windows Server a un dominio

Quando crei un pool di nodi nel cluster GKE, puoi utilizzare gli script pronti disponibili in Managed Microsoft AD per eseguire l'unione automatica al tuo dominio Managed Microsoft AD. Dopo il giorno GKE crea il pool di nodi Microsoft Active Directory gestito avvia la richiesta di unione al dominio e tenta di unire i nodi al tuo dominio. Se la richiesta di unione al dominio ha esito positivo, Microsoft Active Directory gestito unisce i nodi al tuo dominio. Se la richiesta di unione al dominio non va a buon fine, i nodi continuano a essere eseguiti. Devi controllare i log per identificare e risolvere il problema prima di creare di nuovo il pool di nodi. Per ulteriori informazioni, consulta Visualizzare il debug log.

In alcuni scenari specifici, devi ripulire manualmente le informazioni sui nodi non uniti da AD Microsoft gestito. Per ulteriori informazioni, vedi Pulisci gli elementi non uniti delle VM.

Non puoi aggiornare un pool di nodi esistente con gli script di unione al dominio per collegare automaticamente i nodi esistenti al tuo dominio.

La funzionalità di adesione al dominio automatico non configura i nodi GKE per l'esecuzione con gMSA per l'autenticazione. Tuttavia, puoi creare manualmente un gMSA in Managed Microsoft AD e configurare i nodi GKE in modo da utilizzare gMSA. Per informazioni sulla configurazione di gMSA per i nodi GKE, consulta Configurare gMSA per i pod Windows containerizzati.

Prima di iniziare

1. Crea un Microsoft Active Directory gestito dominio.

2. Crea un cluster GKE utilizzando un nodo Windows Server piscine.

3. Assicurati che i nodi Windows Server vengano eseguiti su una versione di Windows che Microsoft AD gestito .

4. Configura dominio il peering tra Dominio Microsoft AD gestito e i nodi rete locale o disporre di entrambe le reti Dominio Microsoft AD gestito e nodi nella stessa rete.

5. Crea un account di servizio con il dominio delle identità gestite da Google Cloud Unisci il ruolo IAM (roles/managedidentities.domainJoin) nella con il dominio Microsoft Active Directory gestito. Per ulteriori informazioni, vedi Identità gestite da Cloud ruoli.

   • Per ulteriori informazioni sulla concessione dei ruoli, consulta l'articolo Concedere un singolo ruolo.

   • Per informazioni sulla creazione di un account di servizio, consulta Autenticare carichi di lavoro con servizio Google Cloud.

6. Imposta l'ambito di accesso cloud-platform completo sui nodi di Windows Server. Per ulteriori informazioni, vedi Autorizzazione.

Metadati

Per unire i nodi Windows Server a un dominio, sono necessarie le seguenti chiavi dei metadati.

• windows-startup-script-url
• managed-ad-domain
• Facoltativo: enable-guest-attributes
• Facoltativo: managed-ad-ou-name
• Facoltativo: managed-ad-force

Per ulteriori informazioni su queste chiavi di metadati, consulta Metadati.

La richiesta di unione al dominio ha esito negativo quando l'account computer di un nodo Windows Server esiste già in Microsoft Active Directory gestito. Per Managed Microsoft AD riutilizzare l'account computer esistente durante il processo di adesione al dominio, puoi utilizzare la chiave dei metadati managed-ad-force quando crei il nodo pool.

Unire i nodi Windows Server

Puoi configurare queste chiavi di metadati quando aggiungi un pool di nodi Windows Server al tuo cluster GKE. Questo illustra come utilizzare queste chiavi di metadati in gcloud CLI quando crei un pool di nodi.

Tuttavia, puoi utilizzare queste chiavi di metadati quando crei un pool di nodi utilizzando anche altre opzioni disponibili. Per ulteriori informazioni, consulta Aggiungere e gestire il nodo piscine.

Per creare un pool di nodi e unire i nodi Windows Server, esegui questo comando: Comando gcloud CLI:

gcloud container node-pools create NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    "--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
    --service-account=SERVICE_ACCOUNT \
    --image-type=WINDOWS_IMAGE_NAME \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --location=ZONE_OR_REGION \
    --no-enable-autoupgrade

Puoi sostituire i segnaposto nel flag --metadata con valori pertinenti come descritto nei metadati .

Per ulteriori informazioni su questo comando gcloud CLI, consulta gcloud container node-pools create.

Passaggi successivi

• Connetti automaticamente una VM Windows a un dominio.