使用网域对等互连部署具有跨项目访问权限的托管式 Microsoft AD

本主题介绍如何在 Managed Service for Microsoft Active Directory (Managed Microsoft AD) 与共享 VPC 之间配置网域对等互连。这样,您就可以将 Managed Microsoft AD 用于连接到共享 VPC 的服务项目。

概览

代管式 Microsoft AD 中的网域对等互连功能会在每个网域资源项目和 VPC 资源项目中创建网域对等互连资源。通过在 Managed Microsoft AD 与共享 VPC 之间创建网域对等互连,您可以将托管式 Microsoft AD 网域提供给连接到共享 VPC 的所有项目。例如,您可以使用托管式 Microsoft AD 网域进行身份验证并登录 SQL Server,其中 SQL Server 和托管式 Microsoft AD 位于连接到共享 VPC 的不同服务项目中。

准备工作

在开始之前,请执行以下操作:

  1. 在 Google Cloud 控制台的项目选择器页面上,选择或创建三个 Google Cloud 项目。它们分别称为宿主项目和服务项目。在宿主项目中启用了共享 VPC。代管式 Microsoft AD 网域和 Cloud SQL 实例必须位于不同的服务项目中。虚拟机可以位于其中一个服务项目中。

    转到“项目选择器”

  2. 为您的 Cloud 项目启用结算功能。如需了解详情,请参阅检查项目是否已启用结算功能

  3. 在宿主项目中启用共享 VPC。如需了解详情,请参阅启用托管项目

  4. 将服务项目关联到共享 VPC 网络。每个项目都需要启用 Compute Engine API。在本示例中,我们建议您在共享 VPC 中创建单独的子网。附加项目时,请为每个项目选择适当的子网。如需了解详情,请参阅关联服务项目

  5. 在服务项目中创建托管式 Microsoft AD 网域。创建 Managed Microsoft AD 网域时授权的 VPC 网络独立于共享 VPC 网络。如需创建不使用已获授权的网络的托管 Microsoft AD 网域,请使用 gcloud CLI 命令。

配置网域对等互连

  1. 创建从具有网域资源的服务项目到共享 VPC 网络的网域对等互连。如需详细了解网域对等互连,请参阅配置网域对等互连

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
    --domain=DOMAIN-RESOURCE-NAME \
    --authorized-network=SHARED-VPC-NAME
    

    替换以下内容:

    • PEERING-RESOURCE-NAME:网域对等互连资源的名称(例如 my-domain-peering)。
    • DOMAIN-RESOURCE-NAME:您的资源的完整资源名称 托管式 Microsoft AD 网域,格式为: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME
    • SHARED-VPC-NAME:共享 VPC 网络的完整资源名称,格式为 projects/PROJECT-ID/global/networks/NETWORK-NAME
  2. 列出网域对等互连以验证状态。运行以下 gcloud CLI 命令:

    gcloud active-directory peerings list --project=PROJECT_ID
    

    PROJECT_ID 替换为用于创建网域对等互连资源的服务项目的 ID。

    它会返回 DISCONNECTED 状态。

  3. 从宿主项目创建反向网域对等互连。

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
    --domain=DOMAIN-RESOURCE-NAME \
    --authorized-network=SHARED-VPC-NAME \
    --project=VPC-RESOURCE-PROJECT-ID
    

    替换以下内容:

    • PEERING-RESOURCE-NAME:网域对等互连资源的名称(例如 my-domain-peering)。
    • DOMAIN-RESOURCE-NAME:您的资源的完整资源名称 托管式 Microsoft AD 网域,格式为: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME
    • SHARED-VPC-NAME:您的资源的完整资源名称 共享 VPC 网络,格式为: projects/PROJECT-ID/global/networks/NETWORK-NAME
    • VPC-RESOURCE-PROJECT-ID:托管共享 VPC 的宿主项目的项目 ID。
  4. 再次列出网域对等连接,以验证状态。运行以下 gcloud CLI 命令:

    gcloud active-directory peerings list --project=PROJECT_ID
    

    PROJECT_ID 替换为用于创建网域对等互连资源的服务项目的 ID。

    它会从宿主项目和服务项目将状态返回为 CONNECTED

配置 Cloud SQL (SQL Server) 实例

  1. 在启用了专用 IP 的服务项目中创建 Cloud SQL (SQL Server) 实例,并选择共享 VPC 的网络。如需了解详情,请参阅创建使用 Windows 身份验证的实例

  2. 网域对等连接完成后,请修改 Cloud SQL (SQL Server) 配置,以使用托管式 Microsoft AD 网域进行身份验证。运行以下 gcloud CLI 命令:

    gcloud beta sql instances patch INSTANCE-NAME \
    --active-directory-domain=DOMAIN-RESOURCE-NAME
    

    替换以下内容:

    • INSTANCE-NAME:服务项目中 Cloud SQL 实例的名称。
    • DOMAIN-RESOURCE-NAME:您要用于身份验证的代管式 Microsoft AD 网域的完整资源名称。资源全名格式:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME

    如需了解详情,请参阅启用跨项目 Windows 身份验证

现在,SQL Server 已配置为启用 Windows 身份验证。

测试设置

  1. 在服务项目中创建 Windows 或 Linux 虚拟机。创建虚拟机时,选择共享 VPC 以及在与此服务项目共享的共享 VPC 中共享的子网。
  2. 将虚拟机加入网域。如需详细了解如何将 Windows 虚拟机加入网域,请参阅将 Windows 虚拟机加入网域
  3. 基于 Windows 用户或群组创建 SQL Server 登录。如需了解详情,请参阅使用用户连接到实例
  4. 使用 SQL Server 的实例 DNS 名称进行连接。如需了解详情,请参阅使用用户连接到实例中的第 2 步。

摘要

您已将托管式 Microsoft AD 网域与共享 VPC 主机对等互连,并在共享 VPC 上创建了 SQL Server。通过此网域对等互连,可以为 SQL Server 启用跨项目 Windows 身份验证。

在上述场景中,Managed Microsoft AD 和 SQL Server 位于不同的服务项目中,但也支持在同一服务项目中配置它们。

或者,您也可以在宿主项目中创建 Managed Microsoft AD 网域。在这种情况下,需要将共享 VPC 添加为托管式 Microsoft AD 网域的已获授权网络。如需了解详情,请参阅将已获授权的网络添加到现有网域

在通过与共享 VPC 建立对等互连的所有这些场景中,网域可供连接到该共享 VPC 的服务项目使用。