Bereitstellung von Managed Microsoft AD mit projektübergreifendem Zugriff über Domain-Peering

In diesem Thema erfahren Sie, wie Sie das Domain-Peering zwischen Managed Service for Microsoft Active Directory (Managed Microsoft AD) und freigegebene VPC konfigurieren. So können Sie Managed Microsoft AD für Dienstprojekte verfügbar machen, die an eine freigegebene VPC angehängt sind.

Übersicht

Beim Domain-Peering in Managed Microsoft AD wird in jeder Domainressource und in jedem VPC-Ressourcenprojekt eine Domain-Peering-Ressource erstellt. Eine verwaltete Microsoft AD-Domain kann für alle Projekte verfügbar gemacht werden, die an die freigegebene VPC angehängt sind. Dazu erstellen Sie ein Domain-Peering zwischen Managed Microsoft AD und freigegebener VPC. Sie können sich beispielsweise über eine verwaltete Microsoft AD-Domain bei SQL Server authentifizieren und anmelden, wobei sich SQL Server und Managed Microsoft AD in verschiedenen Dienstprojekten befinden, die an die freigegebene VPC angehängt sind.

Hinweis

Führen Sie zuerst folgende Schritte aus:

  1. Wählen Sie in der Google Cloud Console auf der Seite für die Projektauswahl drei Google Cloud-Projekte aus oder erstellen Sie sie. Sie werden als Host- und Dienstprojekte bezeichnet. Im Hostprojekt ist die freigegebene VPC aktiviert. Verwaltete Microsoft AD-Domain und Cloud SQL-Instanzen müssen sich in verschiedenen Dienstprojekten befinden. Die VMs können sich in einem der Dienstprojekte befinden.

    Zur Projektauswahl

  2. Aktivieren Sie die Abrechnung für Ihre Cloud-Projekte. Weitere Informationen finden Sie unter Prüfen, ob die Abrechnung für ein Projekt aktiviert ist.

  3. Aktivieren Sie die freigegebene VPC im Hostprojekt. Weitere Informationen finden Sie unter Hostprojekt aktivieren.

  4. Hängen Sie die Dienstprojekte an das freigegebene VPC-Netzwerk an. Für jedes Projekt muss die Compute Engine API aktiviert sein. Für dieses Beispiel empfehlen wir, separate Subnetze im freigegebenen VPC zu erstellen. Wählen Sie beim Anhängen des Projekts für jedes Projekt bzw. die Projekte das entsprechende Subnetz aus. Weitere Informationen finden Sie unter Dienstprojekte anhängen.

  5. Erstellen Sie eine Managed Microsoft AD-Domain im Dienstprojekt. Das VPC-Netzwerk, das beim Erstellen der Managed Microsoft AD-Domain autorisiert wurde, ist von den freigegebene VPC-Netzwerken unabhängig. Verwenden Sie den gcloud CLI-Befehl, um eine Managed Microsoft AD-Domain ohne autorisiertes Netzwerk zu erstellen.

Domain-Peering konfigurieren

  1. Erstellen Sie ein Domain-Peering vom Dienstprojekt mit der Domainressource zum freigegebenen VPC-Netzwerk. Weitere Informationen zum Domain-Peering finden Sie unter Domain-Peering konfigurieren.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
    --domain=DOMAIN-RESOURCE-NAME \
    --authorized-network=SHARED-VPC-NAME
    

    Ersetzen Sie Folgendes:

    • PEERING-RESOURCE-NAME: Ein Name für Ihre Domain-Peering-Ressource (z. B. my-domain-peering).
    • DOMAIN-RESOURCE-NAME: Der vollständige Ressourcenname Ihrer verwalteten Microsoft AD-Domain in Form von projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME: Der vollständige Ressourcenname Ihres freigegebenen VPC-Netzwerks in der Form: projects/PROJECT-ID/global/networks/NETWORK-NAME.
  2. Listen Sie die Domain-Peerings auf, um den Status zu prüfen. Führen Sie den folgenden gcloud CLI-Befehl aus:

    gcloud active-directory peerings list --project=PROJECT_ID
    

    Ersetzen Sie PROJECT_ID durch die Projekt-ID des Dienstprojekts, das zum Erstellen Ihrer Domain-Peering-Ressource verwendet wird.

    Der Status wird als DISCONNECTED zurückgegeben.

  3. Erstellen Sie das Reverse-Domain-Peering aus dem Hostprojekt.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
    --domain=DOMAIN-RESOURCE-NAME \
    --authorized-network=SHARED-VPC-NAME \
    --project=VPC-RESOURCE-PROJECT-ID
    

    Ersetzen Sie Folgendes:

    • PEERING-RESOURCE-NAME: Ein Name für Ihre Domain-Peering-Ressource (z. B. my-domain-peering).
    • DOMAIN-RESOURCE-NAME: Der vollständige Ressourcenname Ihrer verwalteten Microsoft AD-Domain in Form von projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME: Der vollständige Ressourcenname Ihres Freigegebene VPC-Netzwerk in Form von: projects/PROJECT-ID/global/networks/NETWORK-NAME.
    • VPC-RESOURCE-PROJECT-ID: Die Projekt-ID des Hostprojekts, in dem die freigegebene VPC gehostet wird.
  4. Listen Sie die Domain-Peerings noch einmal auf, um den Status zu überprüfen. Führen Sie den folgenden gcloud CLI-Befehl aus:

    gcloud active-directory peerings list --project=PROJECT_ID
    

    Ersetzen Sie PROJECT_ID durch die Projekt-ID des Dienstprojekts, mit dem die Domain-Peering-Ressource erstellt wird.

    Der Status wird sowohl aus dem Host- als auch aus dem Dienstprojekt als CONNECTED zurückgegeben.

Cloud SQL (SQL Server)-Instanz konfigurieren

  1. Erstellen Sie im Dienstprojekt die Cloud SQL-Instanz (SQL Server) mit aktivierter privater IP-Adresse und wählen Sie das Netzwerk der freigegebene VPC aus. Weitere Informationen finden Sie unter Instanz mit Windows-Authentifizierung erstellen.

  2. Nachdem das Domain-Peering abgeschlossen ist, ändern Sie die Cloud SQL-Konfiguration (SQL Server), damit Ihre Managed Microsoft AD-Domain für die Authentifizierung verwendet wird. Führen Sie den folgenden gcloud CLI-Befehl aus:

    gcloud beta sql instances patch INSTANCE-NAME \
    --active-directory-domain=DOMAIN-RESOURCE-NAME
    

    Ersetzen Sie Folgendes:

    • INSTANCE-NAME: Der Name Ihrer Cloud SQL-Instanz im Dienstprojekt.
    • DOMAIN-RESOURCE-NAME: Der vollständige Ressourcenname Ihres Verwaltete Microsoft AD-Domain, die Sie für die Authentifizierung verwenden möchten. Format des vollständigen Ressourcennamens: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.

    Weitere Informationen finden Sie unter Projektübergreifende Windows-Authentifizierung aktivieren.

Der SQL Server ist jetzt mit aktivierter Windows-Authentifizierung konfiguriert.

Einrichtung testen

  1. Erstellen Sie im Dienstprojekt eine Windows- oder Linux-VM. Wählen Sie beim Erstellen der VM die freigegebene VPC und das Subnetz aus, das in der freigegebenen VPC für dieses Dienstprojekt freigegeben ist.
  2. Verbinden Sie die VM mit einer Domain. Weitere Informationen zum Verbinden einer Windows-VM mit einer Domain finden Sie unter Windows-VM mit einer Domain verbinden.
  3. Erstellen Sie ein SQL Server-Login auf Basis eines Windows-Nutzers oder einer Windows-Gruppe. Weitere Informationen finden Sie unter Verbindung zu einer Instanz mit einem Nutzer herstellen.
  4. Stellen Sie eine Verbindung mit dem DNS-Namen der SQL Server-Instanz her. Weitere Informationen finden Sie unter Schritt 2 im Artikel Verbindung zu einer Instanz mit einem Nutzer herstellen.

Fazit

Sie haben das Domain-Peering zwischen einer verwalteten Microsoft AD-Domain und dem freigegebene VPC-Host eingerichtet und SQL Server in der freigegebene VPC erstellt. Durch dieses Domain-Peering wird die projektübergreifende Windows-Authentifizierung für SQL Server aktiviert.

Im obigen Szenario befinden sich Managed Microsoft AD und SQL Server in verschiedenen Dienstprojekten. Es wird aber auch unterstützt, sie im selben Dienstprojekt zu konfigurieren.

Alternativ kann die Managed Microsoft AD-Domain auch im Hostprojekt vorhanden sein. In diesem Fall muss die freigegebene VPC der Managed Microsoft AD-Domain als autorisiertes Netzwerk hinzugefügt werden. Weitere Informationen finden Sie unter Autorisierte Netzwerke zu einer bestehenden Domain hinzufügen.

In all diesen Fällen ist die Domain über Peering mit einer freigegebenen VPC für die Dienstprojekte verfügbar, die an die freigegebene VPC angehängt sind.