ドメイン ピアリングの構成
このトピックでは、Managed Service for Microsoft Active Directory(Managed Microsoft AD)とのドメイン ピアリングを構成する方法について説明します。
準備
- Google Cloud アカウントにログインします。Google Cloud を初めて使用する場合は、アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。
-
Google Cloud Console の [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。
-
Cloud プロジェクトに対して課金が有効になっていることを確認します。詳しくは、プロジェクトで課金が有効になっているかどうかを確認する方法をご覧ください。
-
Managed Microsoft AD、Cloud DNS、Compute Engine API を有効にします。
-
Google Cloud Console の [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。
-
Cloud プロジェクトに対して課金が有効になっていることを確認します。詳しくは、プロジェクトで課金が有効になっているかどうかを確認する方法をご覧ください。
-
Managed Microsoft AD、Cloud DNS、Compute Engine API を有効にします。
- ドメイン リソース プロジェクトに Managed Microsoft AD ドメインを作成します。
- ドメインのピアリング先となる VPC リソース プロジェクトに VPC ネットワークを作成します。
- Managed Microsoft AD に割り当てられた IP 範囲と認可済みネットワークが重複していないことを確認してください。
- 次のいずれかの IAM ロールがあることを確認します。
- Google Cloud Managed Identities 管理者(
roles/managedidentities.admin) - Google Cloud Managed Identities ピアリング管理者(
roles/managedidentities.peeringAdmin)
- Google Cloud Managed Identities 管理者(
- 省略可: 次の IAM ロールも付与されているかどうかを確認します。
- Google Cloud Managed Identities 閲覧者(
roles/managedidentities.viewer) - Compute ネットワーク ユーザー(
roles/compute.networkUser) - Compute ネットワーク閲覧者(
roles/compute.networkViewer)
- Google Cloud Managed Identities 閲覧者(
ドメイン ピアリングの構成
前提条件を満たし、ドメイン情報を収集したら、ドメイン ピアリングを作成できます。
コンソール
ドメイン リソース プロジェクトからピアリングを作成する手順は次のとおりです。
- Google Cloud コンソールで、[マネージド Microsoft AD] ページに移動します。
[マネージド Microsoft AD] に移動 - [ピアリング] タブをクリックします。
- [ピアリング] ページで、[ピアリングを作成] をクリックします。
- [名前] フィールドに、ピアリング リソースの名前を入力します。
- [ドメイン] を選択します。
- [このプロジェクトからドメインを選択] リストで、Managed Microsoft AD ドメインを選択します。
- ピアリングに使用する VPC ネットワークを含むプロジェクト ID または番号を入力します。
- VPC ネットワークの名前を入力します。
- 省略可: ラベルを追加するには、[ラベル] セクションを開きます。[ラベルを追加] をクリックし、Key-Value ペアを入力します。
- [作成] をクリックします。
オペレーションが完了すると、[ピアリング] ページに、ステータスが [切断済み] のピアリングが一覧表示されます。
VPC リソース プロジェクトからピアリングを作成する手順は次のとおりです。
- Google Cloud コンソールで、[マネージド Microsoft AD] ページに移動します。
[マネージド Microsoft AD] に移動 - [ピアリング] タブをクリックします。
- [ピアリング] ページで、[ピアリングを作成] をクリックします。
- [名前] フィールドに、ピアリング リソースの名前を入力します。
- [Network] を選択します。
- [このプロジェクトからネットワークを選択] リストで、VPC ネットワークを選択します。
- Managed Microsoft AD ドメインを含むプロジェクト ID または番号を入力します。
- Managed Microsoft AD ドメインの名前を入力します。
- 省略可: ラベルを追加するには、[ラベル] セクションを開きます。[ラベルを追加] をクリックし、Key-Value ペアを入力します。
- [作成] をクリックします。
オペレーションが完了すると、[ピアリング] ページに、両方のプロジェクトでステータスが [接続済み] になっているピアリングが表示されます。
gcloud
次の gcloud CLI コマンドを実行します。
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-NAME \ --authorized-network=VPC-NETWORK-NAME
以下を置き換えます。
PEERING-RESOURCE-NAME: ドメイン ピアリング リソースの名前(my-domain-peering など)。DOMAIN-NAME: マネージド Microsoft AD 用の完全なリソース名。形式はprojects/PROJECT-ID/locations/global/domains/DOMAIN-NAMEです。VPC-NETWORK-NAME: VPC ネットワーク用の完全なリソース名。形式はprojects/PROJECT-ID/global/networks/NETWORK-NAMEです。
ドメイン ピアリングの作成が開始されたことを知らせる次の応答が届きます。
Create request issued for: PEERING-RESOURCE-NAME Waiting for operation-1842751234221-5857b78a1a49e-02bc63a3-77e5c7ee to complete...
オペレーションが完了したら、VPC リソース プロジェクトでドメイン ピアリングを構成します。次の gcloud CLI コマンドを実行します。
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-NAME \ --authorized-network=VPC-NETWORK-NAME --project=VPC-RESOURCE-PROJECT-ID
以下を置き換えます。
PEERING-RESOURCE-NAME: ドメイン ピアリング リソースの名前(my-domain-peering など)。DOMAIN-NAME: マネージド Microsoft AD 用の完全なリソース名。形式はprojects/PROJECT-ID/locations/global/domains/DOMAIN-NAMEです。VPC-NETWORK-NAME: VPC ネットワーク用の完全なリソース名。形式はprojects/PROJECT-ID/global/networks/NETWORK-NAMEです。VPC-RESOURCE-PROJECT-ID: VPC をホストしている VPC ネットワーク プロジェクトのプロジェクト ID。
ドメイン ピアリングの作成が開始されたことを知らせる次の応答が届きます。
Create request issued for: PEERING-RESOURCE-NAME Waiting for operation-1842751821453-5857b78a1a49e-02bc63a3-77e5c7ee to complete...
この操作には最大で 15 分ほどかかることがあります。このプロセスを繰り返して、プロジェクトに複数のドメイン ピアリングを作成できます。ただし、マネージド Microsoft AD ドメインを持つ VPC ネットワークを最大 10 個ピアリングできます。