Esta página explica como associar nós do Windows Server no seu cluster do Google Kubernetes Engine (GKE) a um domínio do Microsoft AD gerido através da funcionalidade de associação automática ao domínio.
Como o Microsoft AD gerido associa automaticamente nós do Windows Server a um domínio
Quando cria um conjunto de nós no seu cluster do GKE, pode usar os scripts prontos a usar disponíveis no Managed Microsoft AD para associar automaticamente o seu domínio do Managed Microsoft AD. Depois de o GKE criar o conjunto de nós, o Managed Microsoft AD inicia o pedido de associação ao domínio e tenta associar os nós ao seu domínio. Se o pedido de associação ao domínio for bem-sucedido, o Managed Microsoft AD associa os nós ao seu domínio. Se o pedido de associação ao domínio falhar, os nós criados continuam a ser executados. Tem de verificar os registos para identificar e corrigir o problema antes de criar novamente o conjunto de nós. Para mais informações, consulte o artigo Ver registos de depuração.
Tem de limpar manualmente as informações sobre nós não associados no Microsoft AD gerido em alguns cenários específicos. Para mais informações, consulte o artigo Limpe VMs que não foram associadas.
Não pode atualizar um conjunto de nós existente com os scripts de associação ao domínio para associar automaticamente os nós existentes ao seu domínio.
A funcionalidade de associação automática ao domínio não configura os nós do GKE para serem executados com o gMSA para autenticação. No entanto, pode criar manualmente um gMSA no Managed Microsoft AD e configurar os nós do GKE para usar o gMSA. Para ver informações sobre a configuração do gMSA para os nós do GKE, consulte o artigo Configure o gMSA para contentores e pods do Windows.
Antes de começar
Certifique-se de que os nós do Windows Server são executados numa versão do Windows que o Managed Microsoft AD suporta.
Configure a interligação de domínios entre o domínio do Microsoft AD gerido e a rede dos nós, ou tenha o domínio do Microsoft AD gerido e os nós na mesma rede.
Crie uma conta de serviço com a função de IAM Google Cloud Managed Identities Domain Join (
roles/managedidentities.domainJoin) no projeto que tem o domínio do Microsoft AD gerido. Para mais informações, consulte os papéis das identidades geridas na nuvem.Para mais informações sobre a concessão de funções, consulte o artigo Conceda uma única função.
Para ver informações sobre como criar uma conta de serviço, consulte o artigo Autenticar cargas de trabalho com contas de serviço.
Defina o âmbito de acesso
cloud-platformtotal nos nós do Windows Server. Para mais informações, consulte a secção Autorização.
Metadados
Precisa das seguintes chaves de metadados para juntar os seus nós do Windows Server a um domínio.
windows-startup-script-urlmanaged-ad-domain- Opcional:
enable-guest-attributes - Opcional:
managed-ad-ou-name - Opcional:
managed-ad-force
Para mais informações sobre estas chaves de metadados, consulte o artigo Metadados.
O pedido de associação ao domínio falha quando a conta de computador de um nó do Windows Server já existe no Managed Microsoft AD. Para que o Microsoft AD gerido reutilize a conta de computador existente durante o processo de associação ao domínio, pode usar a chave de metadados managed-ad-force quando criar o conjunto de nós.
Junte nós do Windows Server
Pode configurar estas chaves de metadados quando adiciona um conjunto de nós do Windows Server ao seu cluster do GKE. Esta secção ilustra como usar estas chaves de metadados em comandos da CLI gcloud quando cria um conjunto de nós.
No entanto, também pode usar estas chaves de metadados quando cria um conjunto de nós usando as outras opções disponíveis. Para mais informações, consulte o artigo Adicione e faça a gestão de pools de nós.
Para criar um node pool e juntar os nós do Windows Server, execute o seguinte comando da CLI gcloud:
gcloud container node-pools create NODE_POOL_NAME \
--cluster=CLUSTER_NAME \
"--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
--service-account=SERVICE_ACCOUNT \
--image-type=WINDOWS_IMAGE_NAME \
--scopes=https://www.googleapis.com/auth/cloud-platform \
--location=ZONE_OR_REGION \
--no-enable-autoupgrade
Pode substituir os marcadores de posição na flag --metadata por valores relevantes, conforme descrito na secção de metadados.
Para mais informações sobre este comando da CLI gcloud, consulte gcloud container node-pools create.