Bergabung ke node GKE Windows Server secara otomatis ke domain Microsoft AD Terkelola

Halaman ini menjelaskan cara menggabungkan node Windows Server di cluster Google Kubernetes Engine (GKE) ke domain Microsoft AD Terkelola menggunakan fitur penggabungan domain otomatis.

Cara Microsoft AD Terkelola menggabungkan node Windows Server secara otomatis ke domain

Saat membuat kumpulan node di cluster GKE, Anda dapat menggunakan skrip siap pakai yang tersedia dari Microsoft AD Terkelola untuk secara otomatis bergabung dengan domain Microsoft AD Terkelola Anda. Setelah GKE membuat kumpulan node, Microsoft AD Terkelola akan memulai permintaan bergabung domain dan mencoba menggabungkan node dengan domain Anda. Jika permintaan bergabung ke domain berhasil, Microsoft AD Terkelola akan menggabungkan node ke domain Anda. Jika permintaan bergabung ke domain gagal, node yang dibuat akan terus berjalan. Anda perlu memeriksa log untuk mengidentifikasi dan memperbaiki masalah sebelum membuat kumpulan node lagi. Untuk mengetahui informasi selengkapnya, lihat Melihat log debug.

Anda perlu menghapus informasi tentang node yang tidak bergabung secara manual dari Microsoft AD Terkelola dalam beberapa skenario tertentu. Untuk mengetahui informasi selengkapnya, baca Membersihkan VM yang tidak tergabung.

Anda tidak dapat memperbarui kumpulan node yang ada dengan skrip penggabungan domain untuk otomatis menggabungkan node yang ada ke domain Anda.

Fitur bergabung dengan domain otomatis tidak mengonfigurasi node GKE untuk dijalankan dengan gMSA untuk autentikasi. Namun, Anda dapat membuat gMSA secara manual di Microsoft AD Terkelola dan mengonfigurasi node GKE untuk menggunakan gMSA. Untuk informasi cara mengonfigurasi gMSA untuk node GKE, lihat Mengonfigurasi gMSA untuk Pod dan container Windows.

Sebelum memulai

1. Buat domain Microsoft AD Terkelola.

2. Buat cluster GKE menggunakan kumpulan node Windows Server.

3. Pastikan node Windows Server dijalankan pada versi Windows yang didukung oleh Microsoft AD yang Dikelola.

4. Konfigurasikan peering domain antara domain Microsoft AD Terkelola dan jaringan node, atau miliki domain Microsoft AD Terkelola dan node dalam jaringan yang sama.

5. Buat akun layanan dengan peran IAM Google Cloud Managed Identities Domain Join (roles/managedidentities.domainJoin) di project yang memiliki domain Microsoft AD Terkelola. Untuk mengetahui informasi selengkapnya, lihat Peran Cloud Managed Identities.

   • Untuk mengetahui informasi selengkapnya tentang memberikan peran, lihat Memberikan satu peran.

   • Untuk informasi tentang cara membuat akun layanan, lihat Mengautentikasi beban kerja menggunakan akun layanan.

6. Tetapkan cakupan akses cloud-platform penuh di node Windows Server. Untuk informasi lebih lanjut, lihat Otorisasi.

Metadata

Anda memerlukan kunci metadata berikut untuk menggabungkan node Windows Server ke domain.

• windows-startup-script-url
• managed-ad-domain
• Opsional: enable-guest-attributes
• Opsional: managed-ad-ou-name
• Opsional: managed-ad-force

Untuk mengetahui informasi lebih lanjut tentang kunci metadata ini, baca artikel Metadata.

Permintaan bergabung ke domain gagal saat akun komputer node Windows Server sudah ada di Microsoft AD Terkelola. Agar Microsoft AD Terkelola dapat menggunakan kembali akun komputer yang ada selama proses bergabung dengan domain, Anda dapat menggunakan kunci metadata managed-ad-force saat membuat kumpulan node.

Bergabung dengan node Windows Server

Anda dapat mengonfigurasi kunci metadata ini saat menambahkan kumpulan node Windows Server ke cluster GKE. Bagian ini menjelaskan cara menggunakan kunci metadata ini dalam perintah gcloud CLI saat Anda membuat node pool.

Namun, Anda juga dapat menggunakan kunci metadata ini saat membuat kumpulan node menggunakan opsi lain yang tersedia. Untuk mengetahui informasi selengkapnya, lihat Menambahkan dan mengelola kumpulan node.

Untuk membuat kumpulan node dan bergabung dengan node Windows Server, jalankan perintah gcloud CLI berikut:

gcloud container node-pools create NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    "--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
    --service-account=SERVICE_ACCOUNT \
    --image-type=WINDOWS_IMAGE_NAME \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --location=ZONE_OR_REGION \
    --no-enable-autoupgrade

Anda dapat mengganti placeholder dalam tanda --metadata dengan nilai yang relevan seperti yang dijelaskan di bagian metadata.

Untuk mengetahui informasi lebih lanjut tentang perintah gcloud CLI ini, lihat gcloud container node-pools create.

Langkah selanjutnya

• Gabungkan VM Windows secara otomatis ke domain.