GKE Windows Server ノードをマネージド Microsoft AD ドメインに自動的に参加させる

このページでは、自動ドメイン参加機能を使用して、Google Kubernetes Engine（GKE）クラスタ内の Windows Server ノードをマネージド Microsoft AD ドメインに参加させる方法について説明します。

マネージド Microsoft AD が Windows Server ノードをドメインに自動的に参加させる仕組み

GKE クラスタにノードプールを作成する場合、マネージド Microsoft AD から入手できる既製のスクリプトを使用して、マネージド Microsoft AD ドメインに自動的に参加できます。GKE がノードプールを作成すると、マネージド Microsoft AD はドメイン参加リクエストを開始し、ノードをドメインに参加させようとします。ドメイン参加リクエストが成功すると、マネージド Microsoft AD はノードをドメインに参加させます。ドメイン参加リクエストが失敗した場合、作成された VM は引き続き実行されます。ノードプールを再度作成する前に、ログを確認して問題を特定し修正する必要があります。詳細については、デバッグログを表示するをご覧ください。

特定のシナリオでは、結合されていないノードに関する情報をマネージド Microsoft AD から手動でクリーンアップする必要があります。詳細については、未参加の VM をクリーンアップするをご覧ください。

ドメイン参加スクリプトを使用して既存のノードプールを更新し、既存のノードをドメインに自動的に参加させることはできません。

自動ドメイン参加機能では、GKE ノードは gMSA で認証して実行するように構成されません。ただし、マネージド Microsoft AD で手動で gMSA を作成し、gMSA を使用するように GKE ノードを構成できます。GKE ノードに gMSA を構成する方法については、Windows Pod とコンテナに gMSA を構成するをご覧ください。

始める前に

Managed Microsoft AD ドメインを作成します。
Windows Server ノードプールを使用して GKE クラスタを作成します。
Windows Server ノードがマネージド Microsoft AD でサポートされている Windows バージョンで動作していることを確認します。
マネージド Microsoft AD ドメインとノードのネットワークの間にドメインピアリングを構成するか、マネージド Microsoft AD ドメインとノードの両方を同じネットワーク内に配置します。
マネージド Microsoft AD ドメインを持つプロジェクトで Google Cloud Managed Identities ドメイン参加（roles/managedidentities.domainJoin）IAM ロールを持つサービスアカウントを作成します。詳細については、Cloud Managed Identities のロールをご覧ください。
- ロールの付与の詳細については、単一ロールの付与をご覧ください。
- サービスアカウントの作成については、サービスアカウントを使用したワークロードの認証をご覧ください。
Windows Server ノードに完全な cloud-platform アクセススコープを設定します。詳しくは、承認をご覧ください。

メタデータ

Windows Server ノードをドメインに参加させるには、次のメタデータキーが必要です。

windows-startup-script-url
managed-ad-domain
省略可: enable-guest-attributes
省略可: managed-ad-ou-name
省略可: managed-ad-force

これらのメタデータキーの詳細については、メタデータをご覧ください。

Windows Server ノードのコンピュータアカウントがマネージド Microsoft AD にすでに存在する場合、ドメイン参加リクエストは失敗します。マネージド Microsoft AD がドメイン参加プロセス中に既存のコンピュータアカウントを再利用する場合は、ノードプールを作成するときに managed-ad-force メタデータキーを使用できます。

Windows Server ノードを参加させる

これらのメタデータキーは、Windows Server ノードプールを GKE クラスタに追加するときに構成できます。このセクションでは、ノードプールを作成するときに gcloud CLI コマンドでこれらのメタデータキーを使用する方法について説明します。

ただし、他の利用可能なオプションを使用してノードプールを作成するときにも、これらのメタデータキーを使用できます。詳細については、ノードプールの追加と管理をご覧ください。

ノードプールを作成して Windows Server ノードに参加するには、次の gcloud CLI コマンドを実行します。

gcloud container node-pools create NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    "--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
    --service-account=SERVICE_ACCOUNT \
    --image-type=WINDOWS_IMAGE_NAME \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --location=ZONE_OR_REGION \
    --no-enable-autoupgrade

メタデータセクションで説明されているように、--metadata フラグのプレースホルダを適切な値に置き換えることができます。

この gcloud CLI コマンドの詳細については、gcloud container node-pools create をご覧ください。

次のステップ

Windows VM をドメインに自動的に参加させる。

GKE Windows Server ノードをマネージド Microsoft AD ドメインに自動的に参加させる コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。