הגדרת צמתים של Windows Server להצטרפות אוטומטית לדומיין של Active Directory

בדף הזה מוסבר איך להגדיר את צמתי Windows Server באשכול Google Kubernetes Engine‏ (GKE) כך שיצטרפו באופן אוטומטי לדומיין Active Directory‏ (AD).

אם אתם רוצים להצטרף לצמתי Windows Server לדומיין שירות מנוהל ל-Microsoft AD ולא נדרשת לכם קבוצת אבטחה שמכילה את אובייקטי המחשב של האשכול, אתם יכולים להשתמש בתכונה האוטומטית להצטרפות לדומיין. מידע נוסף זמין במאמר בנושא צירוף אוטומטי של צמתי GKE Windows Server לדומיין של שירות מנוהל ל-Microsoft AD.

לפני שמתחילים

לפני שמתחילים, חשוב לוודא שביצעתם את הפעולות הבאות:

• מפעילים את ממשק ה-API של Google Kubernetes Engine.
הפעלת Google Kubernetes Engine API
• אם רוצים להשתמש ב-CLI של Google Cloud למשימה הזו, צריך להתקין ואז להפעיל את ה-CLI של gcloud. אם התקנתם בעבר את ה-CLI של gcloud, מריצים את הפקודה gcloud components update כדי לקבל את הגרסה העדכנית. יכול להיות שגרסאות קודמות של ה-CLI של gcloud לא יתמכו בהרצת הפקודות שמופיעות במסמך הזה.

• מוודאים שיש לכם את הרשאת ה-IAM הנכונה ליצירת אשכולות. לפחות, צריכה להיות לכם הרשאת אדמין באשכול Kubernetes Engine.

הגדרת הצטרפות אוטומטית למאגרי צמתים של Windows Server

1. כדי להגדיר את AD ואת Google Cloud הפרויקט להצטרפות אוטומטית, צריך לפעול לפי ההוראות במדריך הגדרת Active Directory כך שמכונות וירטואליות יצטרפו אוטומטית לדומיין.

2. יוצרים אשכול GKE:

   gcloud container clusters create CLUSTER_NAME \
       --enable-ip-alias \
       --num-nodes=NUMBER_OF_NODES \
       --no-enable-shielded-nodes \
       --cluster-version=VERSION
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫CLUSTER_NAME: השם של האשכול החדש.
   • ‫NUMBER_OF_NODES: מספר צמתי Linux שרוצים ליצור. צריך לספק מספיק משאבי מחשוב כדי להריץ תוספים של אשכולות. זהו שדה אופציונלי. אם לא מציינים ערך, המערכת משתמשת בערך ברירת המחדל 3.
   • ‫VERSION: גרסת אשכול GKE, שצריכה להיות ‎1.17.14-gke.1200 ואילך או ‎1.18.9-gke.100 ואילך. אפשר גם להשתמש בדגל --release-channel כדי לרשום את האשכול לערוץ הפצה.
   • ‫--enable-ip-alias מפעיל כתובת IP של כינוי. נדרשת כתובת IP של כינוי לצמתים של Windows Server.
   • ‫--no-enable-shielded-nodes משבית את התכונה Shielded GKE Nodes.

3. מגדירים את המשתנים הבאים:

   export DOMAIN_PROJECT_ID=PROJECT_ID
   export SERVERLESS_REGION=REGION
   export REGISTER_URL=https://$SERVERLESS_REGION-$DOMAIN_PROJECT_ID.cloudfunctions.net/register-computer
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫PROJECT_ID: מזהה הפרויקט של פרויקט הדומיין.
   • ‫REGION: האזור שבו תפרסו את פונקציית Cloud Run. בוחרים אזור שתומך גם בפונקציות Cloud Run וגם בגישה לרשת (VPC) מאפליקציית serverless. האזור לא חייב להיות אותו אזור שבו אתם מתכננים לפרוס מכונות וירטואליות.

4. כדי ליצור ולהפעיל מאגר צמתים של Windows Server, מעבירים את הסקריפטלט המיוחד שמצטרף לצומת בדומיין AD:

    gcloud container node-pools create NODE_POOL_NAME \
       --cluster=CLUSTER_NAME \
       --image-type=IMAGE_NAME \
       --no-enable-autoupgrade \
       --machine-type=MACHINE_TYPE_NAME \
       "--metadata=sysprep-specialize-script-ps1=iex((New-Object System.Net.WebClient).DownloadString('$REGISTER_URL'))"
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫NODE_POOL_NAME: השם של מאגר הצמתים של Windows Server.
   • ‫CLUSTER_NAME: השם של האשכול שיצרתם.
   • ‫IMAGE_NAME: תמונת הצומת לשימוש, למשל WINDOWS_LTSC_CONTAINERD. מידע נוסף זמין במאמר בנושא בחירת תמונת הצומת של Windows Server.
   • ‫MACHINE_TYPE_NAME: סוג המכונה. ‫n1-standard-2 הוא סוג המכונה המומלץ המינימלי, כי צמתי Windows Server דורשים משאבים נוספים. אין תמיכה בסוגי המכונות f1-micro ו-g1-small. החיוב על כל סוג מכונה מתבצע באופן שונה. מידע נוסף זמין בגיליון התמחור של סוגי המכונות.

הצומת של Windows Server מצורף עכשיו לדומיין של Active Directory.

המאמרים הבאים

• כדי להשתמש בחשבון שירות מנוהל קבוצה (gMSA) עם מאגרי הצמתים של Windows Server, אפשר לעיין במאמר בנושא שימוש ב-gMSA.
• מידע נוסף על שירות מנוהל ל-Microsoft Active Directory