Active Directory ドメインに自動で参加するように Windows Server ノードを構成する

このページでは、Google Kubernetes Engine（GKE）クラスタで Windows Server ノードを構成して、Active Directory（AD）ドメインに自動的に参加する方法について説明します。

Windows Server ノードを Managed Microsoft AD ドメインに参加させ、クラスタのコンピュータ オブジェクトを含むセキュリティ グループを必要としない場合は、自動化されたドメイン参加機能を使用できます。詳細については、GKE Windows Server ノードを Managed Microsoft AD ドメインに自動的に参加させるをご覧ください。

始める前に

作業を始める前に、次のタスクが完了していることを確認してください。

• Google Kubernetes Engine API を有効にする。
Google Kubernetes Engine API を有効化
• このタスクに Google Cloud CLI を使用する場合は、gcloud CLI をインストールして初期化する。gcloud CLI をインストール済みの場合は、gcloud components update コマンドを実行して最新のバージョンを取得します。以前のバージョンの gcloud CLI では、このドキュメントのコマンドを実行できない場合があります。

• クラスタを作成するための適切な IAM 権限があることを確認します。少なくとも、Kubernetes Engine Cluster 管理者である必要があります。

Windows Server ノードプールの自動参加を構成する

1. VM が自動的にドメインに参加するように Active Directory を構成するのチュートリアルの手順に沿って、AD と Google Cloud プロジェクトが自動参加するように構成します。

2. GKE クラスタを作成します。

   gcloud container clusters create CLUSTER_NAME \
       --enable-ip-alias \
       --num-nodes=NUMBER_OF_NODES \
       --no-enable-shielded-nodes \
       --cluster-version=VERSION
   

   次のように置き換えます。

   • CLUSTER_NAME: 新しいクラスタの名前。
   • NUMBER_OF_NODES: 作成する Linux ノードの数。クラスタ アドオンを実行するために十分なコンピューティング リソースを提供する必要があります。これは省略可能なフィールドで、省略した場合、デフォルト値の 3 が使用されます。
   • VERSION: GKE クラスタ バージョン。1.17.14-gke.1200 以降または 1.18.9-gke.100 以降にする必要があります。--release-channel フラグを使用して、クラスタをリリース チャンネルに登録することもできます。
   • --enable-ip-alias により、エイリアス IP が有効になります。Windows Server ノードにはエイリアス IP が必要です。
   • --no-enable-shielded-nodes を指定すると、Shielded GKE Node が無効になります。

3. 以下の変数を設定します。

   export DOMAIN_PROJECT_ID=PROJECT_ID
   export SERVERLESS_REGION=REGION
   export REGISTER_URL=https://$SERVERLESS_REGION-$DOMAIN_PROJECT_ID.cloudfunctions.net/register-computer
   

   次のように置き換えます。

   • PROJECT_ID: ドメイン プロジェクトのプロジェクト ID。
   • REGION: Cloud Run functions をデプロイするリージョン。Cloud Run functions とサーバーレス VPC アクセスの両方をサポートするリージョンを選択してください。ここで選択するリージョンは、VM インスタンスをデプロイするリージョンと同じにする必要はありません。

4. ノードを AD ドメインに参加させる特殊なスクリプレットを渡して、Windows Server ノードプールを作成して起動します。

    gcloud container node-pools create NODE_POOL_NAME \
       --cluster=CLUSTER_NAME \
       --image-type=IMAGE_NAME \
       --no-enable-autoupgrade \
       --machine-type=MACHINE_TYPE_NAME \
       "--metadata=sysprep-specialize-script-ps1=iex((New-Object System.Net.WebClient).DownloadString('$REGISTER_URL'))"
   

   次のように置き換えます。

   • NODE_POOL_NAME: Windows Server ノードプールの名前。
   • CLUSTER_NAME: 作成したクラスタの名前。
   • IMAGE_NAME: 使用するノードイメージ（WINDOWS_LTSC_CONTAINERD など）。詳細については、Windows Server ノードイメージを選択するをご覧ください。
   • MACHINE_TYPE_NAME: マシンタイプ。Windows Server ノードには追加でリソースが必要になるため、n1-standard-2 が推奨される最小マシンタイプです。マシンタイプ f1-micro と g1-small はサポートされていません。マシンタイプごとに課金方法は異なります。詳細については、マシンタイプの価格表をご覧ください。

Windows Server ノードが Active Directory ドメインに追加されました。

次のステップ

• グループ マネージド サービス アカウント（gMSA）を Windows Server ノードプールで使用する。gMSA の使用をご覧ください。
• Managed Service for Microsoft Active Directoryについて学習する。