このページでは、自動ドメイン参加機能を使用して、Google Kubernetes Engine(GKE)クラスタ内の Windows Server ノードをマネージド Microsoft AD ドメインに参加させる方法について説明します。
マネージド Microsoft AD が Windows Server ノードをドメインに自動的に参加させる仕組み
GKE クラスタにノードプールを作成する場合、マネージド Microsoft AD から入手できる既製のスクリプトを使用して、マネージド Microsoft AD ドメインに自動的に参加できます。GKE がノードプールを作成すると、マネージド Microsoft AD はドメイン参加リクエストを開始し、ノードをドメインに参加させようとします。ドメイン参加リクエストが成功すると、マネージド Microsoft AD はノードをドメインに参加させます。ドメイン参加リクエストが失敗した場合、作成された VM は引き続き実行されます。ノードプールを再度作成する前に、ログを確認して問題を特定し修正する必要があります。詳細については、デバッグログを表示するをご覧ください。
特定のシナリオでは、結合されていないノードに関する情報をマネージド Microsoft AD から手動でクリーンアップする必要があります。詳細については、未参加の VM をクリーンアップするをご覧ください。
ドメイン参加スクリプトを使用して既存のノードプールを更新し、既存のノードをドメインに自動的に参加させることはできません。
自動ドメイン参加機能では、GKE ノードは gMSA で認証して実行するように構成されません。ただし、マネージド Microsoft AD で手動で gMSA を作成し、gMSA を使用するように GKE ノードを構成できます。GKE ノードに gMSA を構成する方法については、Windows Pod とコンテナに gMSA を構成するをご覧ください。
始める前に
Windows Server ノードがマネージド Microsoft AD でサポートされている Windows バージョンで動作していることを確認します。
マネージド Microsoft AD ドメインとノードのネットワークの間にドメイン ピアリングを構成するか、マネージド Microsoft AD ドメインとノードの両方を同じネットワーク内に配置します。
マネージド Microsoft AD ドメインを持つプロジェクトで Google Cloud Managed Identities ドメイン参加(
roles/managedidentities.domainJoin
)IAM ロールを持つサービス アカウントを作成します。詳細については、Cloud Managed Identities のロールをご覧ください。ロールの付与の詳細については、単一ロールの付与をご覧ください。
サービス アカウントの作成については、サービス アカウントを使用したワークロードの認証をご覧ください。
Windows Server ノードに完全な
cloud-platform
アクセス スコープを設定します。詳しくは、承認をご覧ください。
メタデータ
Windows Server ノードをドメインに参加させるには、次のメタデータキーが必要です。
windows-startup-script-url
managed-ad-domain
- 省略可:
enable-guest-attributes
- 省略可:
managed-ad-ou-name
- 省略可:
managed-ad-force
これらのメタデータキーの詳細については、メタデータをご覧ください。
Windows Server ノードのコンピュータ アカウントがマネージド Microsoft AD にすでに存在する場合、ドメイン参加リクエストは失敗します。マネージド Microsoft AD がドメイン参加プロセス中に既存のコンピュータ アカウントを再利用する場合は、ノードプールを作成するときに managed-ad-force
メタデータキーを使用できます。
Windows Server ノードを参加させる
これらのメタデータキーは、Windows Server ノードプールを GKE クラスタに追加するときに構成できます。このセクションでは、ノードプールを作成するときに gcloud CLI コマンドでこれらのメタデータキーを使用する方法について説明します。
ただし、他の利用可能なオプションを使用してノードプールを作成するときにも、これらのメタデータキーを使用できます。詳細については、ノードプールの追加と管理をご覧ください。
ノードプールを作成して Windows Server ノードに参加するには、次の gcloud CLI コマンドを実行します。
gcloud container node-pools create NODE_POOL_NAME \ --cluster=CLUSTER_NAME \ "--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-force=TRUE" \ --service-account=SERVICE_ACCOUNT \ --image-type=WINDOWS_IMAGE_NAME \ --scopes=https://www.googleapis.com/auth/cloud-platform \ --location=ZONE_OR_REGION \ --no-enable-autoupgrade
メタデータ セクションで説明されているように、--metadata
フラグのプレースホルダを適切な値に置き換えることができます。
この gcloud CLI コマンドの詳細については、gcloud container node-pools create をご覧ください。