Topik ini menunjukkan cara mengonfigurasi peering domain antara Layanan Terkelola untuk Microsoft Active Directory (Microsoft AD Terkelola) dan VPC Bersama. Tindakan ini memungkinkan Anda menyediakan Microsoft AD Terkelola untuk project layanan yang dikaitkan ke VPC Bersama.
Ringkasan
Peering domain di Microsoft AD Terkelola membuat resource peering domain di setiap resource domain dan project resource VPC. Domain Microsoft AD terkelola dapat tersedia untuk semua project yang terpasang ke VPC Bersama dengan membuat peering domain antara Microsoft AD Terkelola dan VPC Bersama. Misalnya, Anda dapat mengautentikasi dan login ke SQL Server menggunakan domain Microsoft AD Terkelola, tempat SQL Server dan Microsoft AD Terkelola berada dalam project layanan yang berbeda yang dilampirkan ke VPC Bersama.
Sebelum memulai
Sebelum memulai, lakukan hal berikut:
Di Konsol Google Cloud, pada halaman pemilih project, pilih atau buat tiga project Google Cloud. Mereka disebut project host dan layanan. Project host adalah tempat VPC Bersama diaktifkan. Domain Microsoft AD dan instance Cloud SQL terkelola harus berada di project layanan yang berbeda. VM dapat berada di salah satu project layanan.
Aktifkan penagihan untuk project Cloud Anda. Untuk mengetahui informasi selengkapnya, lihat Memeriksa apakah penagihan diaktifkan di project.
Aktifkan VPC Bersama di project host. Untuk informasi selengkapnya, lihat Mengaktifkan project host.
Lampirkan project layanan ke jaringan VPC Bersama. Setiap project harus mengaktifkan Compute Engine API. Untuk tujuan contoh ini, sebaiknya buat subnet terpisah di VPC Bersama. Saat memasang project, pilih subnet yang sesuai untuk setiap project. Untuk mengetahui informasi selengkapnya, lihat Melampirkan project layanan.
Buat domain Microsoft AD Terkelola di project layanan. Jaringan VPC yang diberi otorisasi saat membuat domain Microsoft AD Terkelola tidak akan bergantung pada jaringan VPC Bersama. Untuk membuat domain Microsoft AD Terkelola tanpa jaringan yang diizinkan, gunakan perintah gcloud CLI.
Mengonfigurasi peering domain
Buat peering domain dari project layanan yang memiliki resource domain ke jaringan VPC Bersama. Untuk mengetahui informasi selengkapnya tentang peering domain, lihat Mengonfigurasi peering domain.
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME
Ganti kode berikut:
PEERING-RESOURCE-NAME: Nama untuk resource peering domain Anda (sepertimy-domain-peering).DOMAIN-RESOURCE-NAME: Nama resource lengkap domain Microsoft AD Terkelola Anda, dalam bentuk:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.SHARED-VPC-NAME: Nama resource lengkap jaringan VPC bersama Anda, dalam bentuk:projects/PROJECT-ID/global/networks/NETWORK-NAME.
Mencantumkan peering domain untuk memverifikasi statusnya. Jalankan perintah gcloud CLI berikut:
gcloud active-directory peerings list --project=PROJECT_ID
Ganti PROJECT_ID dengan project ID dari project layanan yang digunakan untuk membuat resource peering domain Anda.
Metode ini akan menampilkan status sebagai
DISCONNECTED.Buat peering domain terbalik dari project host.
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME \ --project=VPC-RESOURCE-PROJECT-ID
Ganti kode berikut:
PEERING-RESOURCE-NAME: Nama untuk resource peering domain Anda (sepertimy-domain-peering).DOMAIN-RESOURCE-NAME: Nama resource lengkap domain Microsoft AD Terkelola Anda, dalam bentuk:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.SHARED-VPC-NAME: Nama resource lengkap jaringan VPC bersama Anda, dalam bentuk:projects/PROJECT-ID/global/networks/NETWORK-NAME.VPC-RESOURCE-PROJECT-ID: Project ID dari project host yang menghosting VPC Bersama.
Menampilkan daftar peering domain lagi untuk memverifikasi statusnya. Jalankan perintah gcloud CLI berikut:
gcloud active-directory peerings list --project=PROJECT_ID
Ganti PROJECT_ID dengan project ID dari project layanan yang digunakan untuk membuat resource peering domain Anda.
Metode ini menampilkan status sebagai
CONNECTEDdari project host dan layanan.
Mengonfigurasi instance Cloud SQL (SQL Server)
Buat instance Cloud SQL (SQL Server) dalam project layanan dengan IP Pribadi aktif dan pilih jaringan VPC Bersama. Untuk mengetahui informasi selengkapnya, lihat Membuat instance dengan Autentikasi Windows.
Setelah peering domain selesai, ubah konfigurasi Cloud SQL (SQL Server) agar menggunakan domain Microsoft AD Terkelola Anda untuk autentikasi. Jalankan perintah gcloud CLI berikut:
gcloud beta sql instances patch INSTANCE-NAME \ --active-directory-domain=DOMAIN-RESOURCE-NAME
Ganti kode berikut:
INSTANCE-NAME: Nama instance Cloud SQL Anda dalam project layanan.DOMAIN-RESOURCE-NAME: Nama resource lengkap domain Microsoft AD Terkelola yang ingin Anda gunakan untuk autentikasi. Format nama resource lengkap:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan autentikasi Windows lintas project.
SQL Server sekarang dikonfigurasi dengan otentikasi Windows diaktifkan.
Menguji penyiapan
- Buat VM Windows atau Linux dalam project layanan. Saat membuat VM, pilih VPC Bersama dan subnet yang dibagikan di VPC Bersama dengan project layanan ini.
- Bergabunglah dengan VM ke domain. Untuk mengetahui informasi selengkapnya tentang cara menggabungkan VM Windows ke domain, lihat Menggabungkan VM Windows ke domain.
- Buat login SQL Server berdasarkan pengguna atau grup Windows. Untuk mengetahui informasi selengkapnya, baca Menghubungkan ke instance dengan pengguna.
- Hubungkan menggunakan nama DNS instance SQL Server. Untuk mengetahui informasi selengkapnya, lihat Langkah 2 di Menghubungkan ke instance dengan pengguna.
Ringkasan
Anda telah melakukan peering domain pada domain Microsoft AD Terkelola dengan host VPC Bersama dan membuat SQL Server di VPC Bersama. Dengan peering domain ini, autentikasi Windows lintas project diaktifkan untuk SQL Server.
Meskipun dalam skenario di atas, Microsoft AD dan SQL Server Terkelola berada dalam project layanan yang berbeda, sehingga konfigurasi keduanya dalam project layanan yang sama juga didukung.
Atau, Anda juga dapat memiliki domain Microsoft AD Terkelola di project host. Dalam hal ini, VPC Bersama perlu ditambahkan sebagai jaringan resmi ke domain Microsoft AD Terkelola. Untuk informasi selengkapnya, lihat Menambahkan jaringan yang diizinkan ke domain yang ada.
Dalam semua skenario ini, melalui peering dengan VPC Bersama, domain tersedia untuk project layanan yang disertakan ke VPC Bersama.