Associar os nós do GKE Windows Server automaticamente a um domínio do Microsoft AD gerenciado

Nesta página, explicamos como mesclar nós do Windows Server no cluster do Google Kubernetes Engine (GKE) a um domínio gerenciado do Microsoft AD usando o recurso de junção automatizada de domínios.

Como o Microsoft AD gerenciado une nós do Windows Server automaticamente a um domínio

Ao criar um pool de nós no cluster do GKE, é possível usar os scripts prontos que estão disponíveis no Microsoft AD gerenciado para mesclar automaticamente o domínio do Microsoft AD gerenciado. Depois que o GKE cria o pool de nós, o Microsoft AD gerenciado inicia a solicitação de associação de domínio e tenta unir os nós ao seu domínio. Se a solicitação de participação no domínio for bem-sucedida, o Microsoft AD gerenciado vai mesclar os nós ao domínio. Se a solicitação de participação no domínio falhar, os nós criados continuarão em execução. É necessário verificar os registros para identificar e corrigir o problema antes de criar o pool de nós novamente. Para mais informações, consulte Ver registros de depuração.

É necessário limpar manualmente as informações sobre nós desvinculados do Microsoft AD gerenciado em alguns cenários específicos. Para mais informações, consulte Limpar VMs desconectadas.

Não é possível atualizar um pool de nós atual com os scripts de agrupamento de domínios para mesclar automaticamente os nós existentes ao seu domínio.

O recurso de mesclagem automatizada de domínios não configura os nós do GKE para serem executados com o gMSA para autenticação. No entanto, é possível criar um gMSA manualmente no Microsoft AD gerenciado e configurar os nós do GKE para usar o gMSA. Para informações sobre como configurar o gMSA para os nós do GKE, consulte Configurar o gMSA para pods e contêineres do Windows.

Antes de começar

1. Crie um domínio do Microsoft AD gerenciado.

2. Crie um cluster do GKE usando pools de nós do Windows Server.

3. Verifique se os nós do Windows Server estão sendo executados em uma versão do Windows compatível com o Microsoft AD gerenciado.

4. Configure o peering de domínio entre o domínio do Microsoft AD gerenciado e a rede dos nós ou use o domínio do Microsoft AD gerenciado e os nós na mesma rede.

5. Crie uma conta de serviço com o papel do IAM de Agrupamento de identidades gerenciadas do Google Cloud (roles/managedidentities.domainJoin) no projeto que tem o domínio do Microsoft AD gerenciado. Para mais informações, consulte Papéis de identidades gerenciadas do Cloud.

   • Para mais informações sobre como conceder papéis, consulte Conceder um único papel.

   • Saiba mais sobre como criar uma conta de serviço em Autenticar cargas de trabalho usando contas de serviço.

6. Defina o escopo de acesso cloud-platform completo nos nós do Windows Server. Para mais informações, consulte Autorização.

Metadados

Você precisa das chaves de metadados a seguir para unir os nós do Windows Server a um domínio.

• windows-startup-script-url
• managed-ad-domain
• Opcional: enable-guest-attributes
• Opcional: managed-ad-ou-name
• Opcional: managed-ad-force

Para mais informações sobre essas chaves de metadados, consulte Metadados.

A solicitação de participação no domínio falha quando a conta de computador de um nó do Windows Server já existe no Microsoft AD gerenciado. Para que o Microsoft AD gerenciado reutilize a conta do computador atual durante o processo de mesclagem do domínio, use a chave de metadados managed-ad-force ao criar o pool de nós.

Mesclar nós do Windows Server

É possível configurar essas chaves de metadados ao adicionar um pool de nós do Windows Server ao cluster do GKE. Esta seção mostra como usar essas chaves de metadados nos comandos da CLI gcloud ao criar um pool de nós.

No entanto, também é possível usar essas chaves de metadados ao criar um pool de nós com as outras opções disponíveis. Para mais informações, consulte Adicionar e gerenciar pools de nós.

Para criar um pool de nós e mesclar os nós do Windows Server, execute o seguinte comando da CLI gcloud:

gcloud container node-pools create NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    "--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
    --service-account=SERVICE_ACCOUNT \
    --image-type=WINDOWS_IMAGE_NAME \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --location=ZONE_OR_REGION \
    --no-enable-autoupgrade

É possível substituir os marcadores na sinalização --metadata por valores relevantes, conforme descrito na seção metadados.

Para mais informações sobre esse comando da CLI gcloud, consulte gcloud container node-pools create.

A seguir

• Associe uma VM do Windows automaticamente a um domínio.