Esta página explica como unir nós do Windows Server em seu um cluster do Google Kubernetes Engine (GKE) para um domínio do Microsoft AD gerenciado usando a mesclagem automática de domínios .
Como o Microsoft AD gerenciado associa nós do Windows Server automaticamente a um domínio
Ao criar um pool de nós no cluster do GKE, você pode usar os scripts prontos disponíveis no Microsoft AD gerenciado para participar automaticamente do domínio do Microsoft AD gerenciado. Depois O GKE cria o pool de nós, o Microsoft AD gerenciado inicia a solicitação de adesão ao domínio e tenta unir os nós com o seu domínio. Se a solicitação de participação no domínio for bem-sucedida, o Microsoft AD gerenciado mescla os nós com seu domínio. Se a solicitação de participação no domínio falhar, o servidor continuam em execução. Verifique os registros para identificar e corrigir o problema antes de criar o pool de nós novamente. Para mais informações, consulte Exibir registros de depuração.
É necessário limpar manualmente as informações sobre nós não associados do Microsoft AD gerenciado em alguns cenários específicos. Para mais informações, consulte Limpar VMs não associadas.
Não é possível atualizar um pool de nós atual com scripts de mesclagem de domínio para associar automaticamente os nós ao seu domínio.
O recurso de integração automática de domínios não configura os nós do GKE para serem executados com o gMSA para autenticação. No entanto, é possível criar manualmente um gMSA no Microsoft AD gerenciado e configurar os nós do GKE para usar o gMSA. Para informações sobre como configurar o gMSA para os nós do GKE, consulte Configurar o gMSA para pods e contêineres do Windows.
Antes de começar
Crie um cluster do GKE usando um nó do Windows Server piscinas.
Verifique se os nós do Windows Server são executados em uma versão do Windows que Microsoft AD gerenciado suporta.
Configurar domínio peering entre a O domínio do Microsoft AD gerenciado e os nós rede ou ter as duas Domínio do Microsoft AD gerenciado e os nós na mesma rede.
Criar uma conta de serviço com o domínio de identidades gerenciadas do Google Cloud Participar (
roles/managedidentities.domainJoin) do papel do IAM na que tem o domínio do Microsoft AD gerenciado. Para mais informações, consulte Funções do Cloud Managed Identities.Para mais informações sobre como conceder papéis, consulte Conceder um único papel.
Para informações sobre como criar uma conta de serviço, consulte Autenticar cargas de trabalho que usam contas de serviço.
Defina o escopo de acesso
cloud-platformcompleto nos nós do Windows Server. Para mais informações, consulte Autorização.
Metadados
Você precisa das seguintes chaves de metadados para ingressar nos nós do Windows Server em um domínio.
windows-startup-script-urlmanaged-ad-domain- Opcional:
enable-guest-attributes - Opcional:
managed-ad-ou-name - Opcional:
managed-ad-force
Para mais informações sobre essas chaves de metadados, consulte Metadados.
A solicitação de participação no domínio falha quando a conta do computador de um nó do Windows Server
já existe no Microsoft AD gerenciado. Para que o Microsoft AD gerenciado
reutilizar a conta do computador atual durante o processo de associação ao domínio, poderá usar
na chave de metadados managed-ad-force ao criar o nó
pool.
Mesclar nós do Windows Server
É possível configurar esses metadados chaves quando você adicionar um pool de nós do Windows Server ao cluster do GKE. Isso ilustra como usar essas chaves de metadados na CLI gcloud comandos ao criar um pool de nós.
No entanto, é possível usar essas chaves de metadados ao criar um pool de nós com o outras opções disponíveis. Para mais informações, consulte Adicionar e gerenciar pools de nós.
Para criar um pool de nós e ingressar nos nós do Windows Server, execute o seguinte comando da CLI gcloud:
gcloud container node-pools create NODE_POOL_NAME \
--cluster=CLUSTER_NAME \
"--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
--service-account=SERVICE_ACCOUNT \
--image-type=WINDOWS_IMAGE_NAME \
--scopes=https://www.googleapis.com/auth/cloud-platform \
--location=ZONE_OR_REGION \
--no-enable-autoupgrade
É possível substituir os marcadores na sinalização --metadata por valores relevantes.
conforme descrito nos
metadados
nesta seção.
Para mais informações sobre esse comando da CLI gcloud, consulte gcloud de pools de nós de contêiner criados.