Joindre automatiquement des nœuds GKE Windows Server à un domaine Microsoft AD géré

Cette page explique comment joindre des nœuds Windows Server de votre cluster Google Kubernetes Engine (GKE) à un domaine Microsoft AD géré à l'aide de la fonctionnalité de jointure automatique de domaine.

Comment le service Microsoft AD géré joint automatiquement les nœuds Windows Server à un domaine

Lorsque vous créez un pool de nœuds dans votre cluster GKE, vous pouvez utiliser les scripts prêts à l'emploi disponibles dans le service Microsoft AD géré pour rejoindre automatiquement votre domaine Microsoft AD géré. Une fois que GKE a créé le pool de nœuds, le service Microsoft AD géré lance la demande de jonction de domaine et tente de joindre les nœuds à votre domaine. Si la demande de jonction au domaine aboutit, le service Microsoft AD géré joint les nœuds à votre domaine. Si la demande de jonction au domaine échoue, les nœuds créés continuent de s'exécuter. Vous devez vérifier les journaux pour identifier et résoudre le problème avant de créer à nouveau le pool de nœuds. Pour en savoir plus, consultez la section Afficher les journaux de débogage.

Dans certains cas spécifiques, vous devez nettoyer manuellement les informations sur les nœuds non associés à partir du service Microsoft AD géré. Pour en savoir plus, consultez la section Nettoyer les VM non associées.

Vous ne pouvez pas mettre à jour un pool de nœuds existant avec les scripts de jointure de domaine pour joindre automatiquement les nœuds existants à votre domaine.

La fonctionnalité de jointure automatique de domaines ne configure pas les nœuds GKE pour qu'ils s'exécutent avec un gMSA à des fins d'authentification. Toutefois, vous pouvez créer manuellement un compte de service gMSA dans le service Microsoft AD géré et configurer les nœuds GKE pour qu'ils utilisent ce compte. Pour en savoir plus sur la configuration d'un compte de service gMSA pour les nœuds GKE, consultez la page Configurer un compte de service gMSA pour les pods et les conteneurs Windows.

Avant de commencer

1. Créez un domaine Microsoft AD géré.

2. Créez un cluster GKE à l'aide de pools de nœuds Windows Server.

3. Assurez-vous que les nœuds Windows Server s'exécutent sur une version de Windows compatible avec le service Microsoft AD géré.

4. Configurez l'appairage de domaines entre le domaine Microsoft AD géré et le réseau des nœuds, ou placez le domaine Microsoft AD géré et les nœuds sur le même réseau.

5. Créez un compte de service doté du rôle IAM roles/managedidentities.domainJoin (Google Cloud Managed Identities) pour la jointure du domaine sur le projet contenant le domaine Microsoft AD géré. Pour en savoir plus, consultez la page Rôles Cloud Managed Identities.

   • Pour en savoir plus sur l'attribution de rôles, consultez la section Attribuer un seul rôle.

   • Pour en savoir plus sur la création d'un compte de service, consultez Authentifier des charges de travail à l'aide de comptes de service.

6. Définissez le niveau d'accès cloud-platform complet sur les nœuds Windows Server. Pour en savoir plus, consultez la section Autorisation.

Métadonnées

Vous avez besoin des clés de métadonnées suivantes pour joindre vos nœuds Windows Server à un domaine.

• windows-startup-script-url
• managed-ad-domain
• Facultatif : enable-guest-attributes.
• Facultatif : managed-ad-ou-name.
• Facultatif : managed-ad-force.

Pour en savoir plus sur ces clés de métadonnées, consultez la section Métadonnées.

La demande de jonction de domaine échoue lorsque le compte d'ordinateur d'un nœud Windows Server existe déjà dans le service Microsoft AD géré. Pour que le service Microsoft AD géré réutilise le compte d'ordinateur existant lors du processus de jonction de domaine, vous pouvez utiliser la clé de métadonnées managed-ad-force lorsque vous créez le pool de nœuds.

Joindre des nœuds Windows Server

Vous pouvez configurer ces clés de métadonnées lorsque vous ajoutez un pool de nœuds Windows Server à votre cluster GKE. Cette section explique comment utiliser ces clés de métadonnées dans les commandes de gcloud CLI lorsque vous créez un pool de nœuds.

Toutefois, vous pouvez également utiliser ces clés de métadonnées lorsque vous créez un pool de nœuds à l'aide des autres options disponibles. Pour en savoir plus, consultez la section Ajouter et gérer des pools de nœuds.

Pour créer un pool de nœuds et joindre les nœuds Windows Server, exécutez la commande gcloud CLI suivante:

gcloud container node-pools create NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    "--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \
    --service-account=SERVICE_ACCOUNT \
    --image-type=WINDOWS_IMAGE_NAME \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --location=ZONE_OR_REGION \
    --no-enable-autoupgrade

Vous pouvez remplacer les espaces réservés dans l'option --metadata par les valeurs appropriées, comme décrit dans la section Métadonnées.

Pour en savoir plus sur cette commande de gcloud CLI, consultez la page gcloud container node-pools create.

Étapes suivantes

• Associez automatiquement une VM Windows à un domaine.