Questo argomento mostra come configurare il peering di dominio tra Managed Service for Microsoft Active Directory (Managed Microsoft AD) e VPC condiviso. In questo modo, puoi rendere disponibile Microsoft AD gestito per i progetti di servizio collegati al VPC condiviso.
Panoramica
Il peering di dominio in Managed Microsoft AD crea una risorsa di peering di dominio in ogni progetto di risorse di dominio e VPC. Il dominio Microsoft Active Directory gestito può essere reso disponibile a tutti i progetti collegati alla rete VPC condiviso creando un peering di dominio tra Microsoft Active Directory gestito e la rete VPC condiviso. Ad esempio, puoi autenticarti e accedere a SQL Server utilizzando il dominio Microsoft Active Directory gestito, in cui SQL Server e Microsoft Active Directory gestito si trovano in progetti di servizio diversi collegati alla VPC condiviso.
Prima di iniziare
Prima di iniziare, segui questi passaggi:
Nella console Google Cloud, nella pagina di selezione dei progetti, seleziona o crea tre progetti Google Cloud. Si chiamano progetti host e di servizio. Il progetto host è il luogo in cui è abilitata la VPC condiviso. Il dominio Microsoft AD gestito e le istanze Cloud SQL devono trovarsi in progetti di servizi diversi. Le VM potrebbero trovarsi in uno dei progetti di servizio.
Abilita la fatturazione per i tuoi progetti Cloud. Per ulteriori informazioni, consulta Verificare se la fatturazione è abilitata in un progetto.
Attiva la rete VPC condivisa nel progetto host. Per ulteriori informazioni, vedi Attivare un progetto host.
Collega i progetti di servizio alla rete VPC condiviso. Per ogni progetto è necessario abilitare l'API Compute Engine. Ai fini di questo esempio, consigliamo di creare subnet separate nel VPC condiviso. Durante l'attacco del progetto, scegli la subnet appropriata per ciascuno dei progetti. Per ulteriori informazioni, consulta Collegare i progetti di servizio.
Crea un dominio Microsoft AD gestito nel progetto di servizio. La rete VPC autorizzata durante la creazione del dominio Microsoft Active Directory gestito è indipendente dalle reti VPC condiviso. Per creare un dominio Microsoft AD gestito senza una rete autorizzata, utilizza il comando gcloud CLI.
Configurare il peering del dominio
Crea il peering di dominio dal progetto di servizio che ha la risorsa di dominio alla rete VPC condiviso. Per ulteriori informazioni sul peering di dominio, vedi Configurare il peering di dominio.
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME
Sostituisci quanto segue:
PEERING-RESOURCE-NAME: un nome per la risorsa di peering del dominio (ad esempiomy-domain-peering).DOMAIN-RESOURCE-NAME: il nome completo della risorsa del tuo dominio Microsoft AD gestito, nella forma:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.SHARED-VPC-NAME: il nome completo della risorsa della rete VPC condiviso, nel formato:projects/PROJECT-ID/global/networks/NETWORK-NAME.
Elenca i peering di dominio per verificare lo stato. Esegui il seguente comando gcloud CLI:
gcloud active-directory peerings list --project=PROJECT_ID
Sostituisci PROJECT_ID con l'ID del progetto di servizio utilizzato per creare la risorsa di peering di dominio.
Restituisce lo stato come
DISCONNECTED.Crea il peering di dominio inverso dal progetto host.
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME \ --project=VPC-RESOURCE-PROJECT-ID
Sostituisci quanto segue:
PEERING-RESOURCE-NAME: un nome per la risorsa di peering del dominio (ad esempiomy-domain-peering).DOMAIN-RESOURCE-NAME: il nome completo della risorsa del tuo dominio Microsoft AD gestito, nella forma:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.SHARED-VPC-NAME: il nome completo della risorsa della rete VPC condiviso, nel formato:projects/PROJECT-ID/global/networks/NETWORK-NAME.VPC-RESOURCE-PROJECT-ID: l'ID del progetto host che ospita il VPC condiviso.
Elenca di nuovo i peering di dominio per verificare lo stato. Esegui il seguente comando gcloud CLI:
gcloud active-directory peerings list --project=PROJECT_ID
Sostituisci PROJECT_ID con l'ID del progetto di servizio utilizzato per creare la risorsa di peering di dominio.
Restituisce lo stato
CONNECTEDsia dal progetto host che dal progetto di servizio.
Configura l'istanza Cloud SQL (SQL Server)
Crea l'istanza Cloud SQL (SQL Server) nel progetto di servizio con l'IP privato abilitato e seleziona la rete del VPC condiviso. Per ulteriori informazioni, consulta Creare un'istanza con l'autenticazione Windows.
Al termine del peering dei domini, modifica la configurazione di Cloud SQL (SQL Server) in modo da utilizzare il dominio Microsoft AD gestito per l'autenticazione. Esegui il seguente comando gcloud CLI:
gcloud beta sql instances patch INSTANCE-NAME \ --active-directory-domain=DOMAIN-RESOURCE-NAME
Sostituisci quanto segue:
INSTANCE-NAME: il nome dell'istanza Cloud SQL nel progetto di servizio.DOMAIN-RESOURCE-NAME: il nome completo della risorsa del tuo dominio AD di Microsoft gestito che vuoi utilizzare per l'autenticazione. Formato del nome completo della risorsa:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
Per ulteriori informazioni, consulta Attivare l'autenticazione Windows tra progetti.
SQL Server è ora configurato con l'autenticazione Windows abilitata.
Testa la configurazione
- Crea una VM Windows o Linux nel progetto di servizio. Durante la creazione della VM, seleziona la VPC condiviso e la subnet condivisa nella rete VPC condiviso con questo progetto di servizio.
- Collega la VM a un dominio. Per ulteriori informazioni sull'aggiunta di una VM Windows a un dominio, consulta Aggiungere una VM Windows a un dominio.
- Crea un accesso SQL Server basato su un utente o un gruppo Windows. Per ulteriori informazioni, consulta Connettersi a un'istanza con un utente.
- Connettiti utilizzando il nome DNS dell'istanza SQL Server. Per ulteriori informazioni, consulta il passaggio 2 in Connettersi a un'istanza con un utente.
Riepilogo
Hai eseguito il peering di un dominio Microsoft AD gestito con l'host VPC condiviso e hai creato SQL Server nella VPC condivisa. Con questo peering di dominio, l'autenticazione Windows tra progetti è abilitata per SQL Server.
Sebbene nello scenario precedente AD Microsoft gestito e SQL Server si trovino in progetti di servizio diversi, è supportata anche la loro configurazione nello stesso progetto di servizio.
In alternativa, puoi anche avere il dominio Microsoft Active Directory gestito nel progetto host. In questo caso, VPC condiviso deve essere aggiunta come rete autorizzata al dominio Microsoft AD gestito. Per ulteriori informazioni, vedi Aggiungere reti autorizzate a un dominio esistente.
In tutti questi scenari, tramite il peering con il VPC condiviso, il dominio è disponibile per i progetti di servizio collegati al VPC condiviso.