Halaman ini diterjemahkan oleh Cloud Translation API.

Menggabungkan node Windows Server GKE secara otomatis ke domain Microsoft AD Terkelola

Halaman ini menjelaskan cara bergabung ke node Windows Server di cluster Google Kubernetes Engine (GKE) ke Managed Microsoft AD domain menggunakan fitur gabungan domain otomatis.

Cara Microsoft AD Terkelola bergabung dengan node Windows Server secara otomatis ke domain

Saat membuat node pool di cluster GKE, Anda dapat menggunakan skrip siap pakai yang tersedia dari Microsoft AD Terkelola untuk bergabung secara otomatis ke domain Microsoft AD Terkelola. Setelah GKE membuat node pool, Microsoft AD Terkelola akan memulai permintaan penggabungan domain dan mencoba menggabungkan node dengan domain Anda. Jika permintaan penggabungan domain berhasil, Microsoft AD Terkelola akan menggabungkan node ke domain Anda. Jika permintaan bergabung ke domain gagal, node yang dibuat akan terus berjalan. Anda perlu memeriksa log untuk mengidentifikasi dan memperbaiki masalah tersebut sebelum membuat node pool lagi. Untuk informasi selengkapnya, lihat Melihat log debug.

Anda perlu membersihkan informasi tentang node yang tidak tergabung secara manual dari Managed Microsoft AD dalam beberapa skenario tertentu. Untuk mengetahui informasi selengkapnya, lihat Membersihkan VM yang tidak bergabung.

Anda tidak dapat memperbarui node pool yang ada dengan skrip join domain untuk otomatis bergabung dengan node yang ada ke domain Anda.

Fitur bergabung ke domain otomatis tidak mengonfigurasi node GKE agar berjalan dengan gMSA untuk autentikasi. Namun, Anda dapat membuat gMSA secara manual di Microsoft AD Terkelola dan mengonfigurasi node GKE untuk menggunakan gMSA. Untuk informasi cara mengonfigurasi gMSA untuk node GKE, lihat Mengonfigurasi gMSA untuk Pod dan container Windows.

Sebelum memulai

Buat domain Microsoft AD Terkelola.
Buat cluster GKE menggunakan node pool Windows Server.
Pastikan node Windows Server berjalan di versi Windows yang didukung Microsoft AD Terkelola.
Konfigurasikan peering domain antara domain Microsoft AD Terkelola dan jaringan node, atau tempatkan domain Microsoft AD Terkelola dan node di jaringan yang sama.
Buat akun layanan dengan peran IAM Google Cloud Managed Identities Domain Join (roles/managedidentities.domainJoin) di project yang memiliki domain Managed Microsoft AD. Untuk informasi selengkapnya, lihat Peran Cloud Managed Identities.
- Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Memberikan satu peran.
- Untuk mengetahui informasi tentang cara membuat akun layanan, lihat Mengautentikasi workload menggunakan akun layanan.
Tetapkan cakupan akses cloud-platform penuh di node Windows Server. Untuk mengetahui informasi selengkapnya, lihat Otorisasi.

Metadata

Anda memerlukan kunci metadata berikut untuk bergabung dengan node Windows Server ke domain.

windows-startup-script-url
managed-ad-domain
Opsional: enable-guest-attributes
Opsional: managed-ad-ou-name
Opsional: managed-ad-force

Untuk mengetahui informasi selengkapnya tentang kunci metadata ini, lihat Metadata.

Permintaan penggabungan domain akan gagal jika akun komputer node Windows Server sudah ada di Microsoft AD Terkelola. Agar Microsoft AD Terkelola dapat menggunakan kembali akun komputer yang ada selama proses penggabungan domain, Anda dapat menggunakan kunci metadata managed-ad-force saat membuat kumpulan node.

Menggabungkan node Windows Server

Anda dapat mengonfigurasi kunci metadata ini saat menambahkan node pool Windows Server ke cluster GKE. Bagian ini menunjukkan cara menggunakan kunci metadata ini dalam perintah gcloud CLI saat Anda membuat kumpulan node.

Namun, Anda juga dapat menggunakan kunci metadata ini saat membuat node pool menggunakan opsi lain yang tersedia. Untuk mengetahui informasi selengkapnya, lihat Menambahkan dan mengelola node pool.

Untuk membuat node pool dan bergabung dengan node Windows Server, jalankan perintah gcloud CLI berikut:

gcloud container node-pools create NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    "--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
    --service-account=SERVICE_ACCOUNT \
    --image-type=WINDOWS_IMAGE_NAME \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --location=ZONE_OR_REGION \
    --no-enable-autoupgrade

Anda dapat mengganti placeholder di flag --metadata dengan nilai yang relevan seperti yang dijelaskan di bagian metadata.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud CLI ini, lihat gcloud container node-pools create.

Langkah selanjutnya

Menggabungkan VM Windows secara otomatis ke domain.