配置 Windows Server 节点以自动加入 Active Directory 网域

本页面介绍如何在 Google Kubernetes Engine (GKE) 集群中配置 Windows Server 节点，以自动加入 Active Directory (AD) 网域。

如果您想将 Windows Server 节点加入 Managed Microsoft AD 域，并且不需要包含集群计算机对象的安全群组，则可以使用自动网域加入功能。如需了解详情，请参阅自动将 GKE Windows Server 节点加入 Microsoft AD 托管服务域。

准备工作

在开始之前，请确保您已执行以下任务：

• 启用 Google Kubernetes Engine API。
启用 Google Kubernetes Engine API
• 如果您要使用 Google Cloud CLI 执行此任务，请安装并初始化 gcloud CLI。 如果您之前安装了 gcloud CLI，请通过运行 gcloud components update 命令来获取最新版本。较早版本的 gcloud CLI 可能不支持运行本文档中的命令。

• 确保您具有创建集群的正确 IAM 权限。您至少应是 Kubernetes Engine Cluster Admin。

为 Windows Server 节点池配置自动联接

1. 按照为虚拟机配置 Active Directory 以自动加入网域教程中的说明，将 AD 和 Google Cloud 项目配置为自动加入。

2. 创建 GKE 集群：

   gcloud container clusters create CLUSTER_NAME \
       --enable-ip-alias \
       --num-nodes=NUMBER_OF_NODES \
       --no-enable-shielded-nodes \
       --cluster-version=VERSION
   

   请替换以下内容：

   • CLUSTER_NAME：新集群的名称。
   • NUMBER_OF_NODES：要创建的 Linux 节点数量。您应该提供足够的计算资源以用于运行集群插件。这是一个可选字段，如果省略，则使用默认值 3。
   • VERSION：GKE 集群版本，必须为 1.17.14-gke.1200 或更高版本，或者 1.18.9-gke.100 或更高版本。您还可以使用 --release-channel 标志在发布版本中注册集群。
   • --enable-ip-alias 表示启用别名 IP。别名 IP 是 Windows Server 节点的必需设置。
   • --no-enable-shielded-nodes 表示停用安全强化型 GKE 节点。

3. 设置以下变量：

   export DOMAIN_PROJECT_ID=PROJECT_ID
   export SERVERLESS_REGION=REGION
   export REGISTER_URL=https://$SERVERLESS_REGION-$DOMAIN_PROJECT_ID.cloudfunctions.net/register-computer
   

   请替换以下内容：

   • PROJECT_ID：您的网域项目的项目 ID。
   • REGION：要在其中部署 Cloud Run functions 的区域。选择同时支持 Cloud Run functions 和无服务器 VPC 访问通道的区域。该地区不一定得是您计划在其中部署虚拟机实例的地区。

4. 通过传递将节点的连接到 AD 域的专用 scriptlet 创建并启动 Windows Server 节点池：

    gcloud container node-pools create NODE_POOL_NAME \
       --cluster=CLUSTER_NAME \
       --image-type=IMAGE_NAME \
       --no-enable-autoupgrade \
       --machine-type=MACHINE_TYPE_NAME \
       "--metadata=sysprep-specialize-script-ps1=iex((New-Object System.Net.WebClient).DownloadString('$REGISTER_URL'))"
   

   请替换以下内容：

   • NODE_POOL_NAME：Windows Server 节点池的名称。
   • CLUSTER_NAME：您创建的集群的名称。
   • IMAGE_NAME：要使用的节点映像，例如 WINDOWS_LTSC_CONTAINERD。如需了解详情，请参阅选择 Windows Server 节点映像。
   • MACHINE_TYPE_NAME：机器类型。n1-standard-2 是建议机器类型的最低要求，因为 Windows Server 节点需要更多资源。不支持 f1-micro 和 g1-small 机器类型。每种机器类型的计费方式都各不相同。如需了解详情，请参阅机器类型价格表。

您的 Windows Server 节点现已加入 Active Directory 域。

后续步骤

• 如要将群组管理的服务账号 (gMSA) 与 Windows Server 节点池一起使用，请参阅使用 gMSA。
• 了解 Microsoft Active Directory 托管服务。