Déployer le service Microsoft AD géré avec un accès inter-projets à l'aide de l'appairage de domaines

Cette rubrique vous explique comment configurer l'appairage de domaines entre le service géré pour Microsoft Active Directory (service Microsoft AD géré) et le VPC partagé. Cela vous permet de rendre le service Microsoft AD géré disponible pour les projets de service associés à un VPC partagé.

Présentation

L'appairage de domaines dans le service Microsoft AD géré crée une ressource d'appairage de domaines dans chaque ressource de domaine et projet de ressource VPC. Vous pouvez rendre un domaine Microsoft AD géré disponible pour tous les projets associés au VPC partagé en créant un appairage de domaines entre le service Microsoft AD géré et le VPC partagé. Par exemple, vous pouvez vous authentifier et vous connecter à SQL Server à l'aide d'un domaine Microsoft AD géré, où SQL Server et le service Microsoft AD géré se trouvent dans des projets de service différents associés au VPC partagé.

Avant de commencer

Avant de commencer, procédez comme suit :

  1. Dans la console Google Cloud, sur la page du sélecteur de projet, sélectionnez ou créez trois projets Google Cloud. On les appelle "projets hôtes" et "projets de service". Le projet hôte est l'endroit où le VPC partagé est activé. Le domaine Microsoft AD géré et les instances Cloud SQL doivent se trouver dans des projets de service différents. Les VM peuvent résider dans l'un des projets de service.

    Accéder au sélecteur de projet

  2. Activez la facturation pour vos projets Cloud. Pour en savoir plus, consultez Vérifier si la facturation est activée sur un projet.

  3. Activez le VPC partagé sur le projet hôte. Pour en savoir plus, consultez la section Activer un projet hôte.

  4. Associez le ou les projets de service au réseau VPC partagé. L'API Compute Engine doit être activée sur chacun des projets. Pour les besoins de cet exemple, nous vous recommandons de créer des sous-réseaux distincts dans le VPC partagé. Lorsque vous associez le projet, choisissez le sous-réseau approprié pour chacun des projets. Pour en savoir plus, consultez Associer des projets de service.

  5. Créez un domaine Microsoft AD géré dans le projet de service. Le réseau VPC autorisé lors de la création du domaine Microsoft AD géré est indépendant des réseaux VPC partagés. Pour créer un domaine Microsoft AD géré sans réseau autorisé, utilisez la commande gcloud CLI.

Configurer l'appairage de domaines

  1. Créez un appairage de domaines à partir du projet de service ayant la ressource de domaine vers le réseau VPC partagé. Pour plus d'informations sur l'appairage de domaines, consultez la section Configurer l'appairage de domaines.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
--domain=DOMAIN-RESOURCE-NAME \
--authorized-network=SHARED-VPC-NAME

    Remplacez les éléments suivants :

    • PEERING-RESOURCE-NAME: nom de votre ressource d'appairage de domaines (par exemple, my-domain-peering).
    • DOMAIN-RESOURCE-NAME : nom complet de la ressource de votre domaine Microsoft AD géré, sous la forme projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME : nom complet de la ressource de votre réseau VPC partagé, au format projects/PROJECT-ID/global/networks/NETWORK-NAME.

  2. Répertoriez les appairages de domaines pour vérifier l'état. Exécutez la commande de gcloud CLI suivante :

    gcloud active-directory peerings list --project=PROJECT_ID

    Remplacez PROJECT_ID par l'ID du projet de service utilisé pour créer la ressource d'appairage de domaines.

    Elle renvoie l'état sous la forme DISCONNECTED.

  3. Créez l'appairage de domaines inversé à partir du projet hôte.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
--domain=DOMAIN-RESOURCE-NAME \
--authorized-network=SHARED-VPC-NAME \
--project=VPC-RESOURCE-PROJECT-ID

    Remplacez les éléments suivants :

    • PEERING-RESOURCE-NAME: nom de votre ressource d'appairage de domaines (par exemple, my-domain-peering).
    • DOMAIN-RESOURCE-NAME : nom complet de la ressource de votre domaine Microsoft AD géré, sous la forme projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME : nom complet de la ressource de votre réseau VPC partagé, au format projects/PROJECT-ID/global/networks/NETWORK-NAME.
    • VPC-RESOURCE-PROJECT-ID: ID du projet hôte qui héberge le VPC partagé.

  4. Répertoriez à nouveau les appairages de domaines pour vérifier l'état. Exécutez la commande de gcloud CLI suivante :

    gcloud active-directory peerings list --project=PROJECT_ID

    Remplacez PROJECT_ID par l'ID du projet de service utilisé pour créer la ressource d'appairage de domaines.

    Elle renvoie l'état CONNECTED à partir du projet hôte et du projet de service.

Configurer l'instance Cloud SQL (SQL Server)

  1. Créez l'instance Cloud SQL (SQL Server) dans le projet de service avec l'adresse IP privée activée, puis sélectionnez le réseau du VPC partagé. Pour en savoir plus, consultez Créer une instance avec l'authentification Windows.

  2. Une fois l'appairage de domaines terminé, modifiez la configuration de Cloud SQL (SQL Server) afin d'utiliser votre domaine Microsoft AD géré pour l'authentification. Exécutez la commande de gcloud CLI suivante :

    gcloud beta sql instances patch INSTANCE-NAME \
--active-directory-domain=DOMAIN-RESOURCE-NAME

    Remplacez les éléments suivants :

    • INSTANCE-NAME: nom de votre instance Cloud SQL dans le projet de service.
    • DOMAIN-RESOURCE-NAME: nom complet de la ressource du domaine Microsoft AD géré que vous souhaitez utiliser pour l'authentification. Format du nom de ressource complet : projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.

    Pour en savoir plus, consultez Activer l'authentification Windows inter-projets.

SQL Server est désormais configuré avec l'authentification Windows activée.

Tester la configuration

  1. Créez une VM Windows ou Linux dans le projet de service. Lors de la création de la VM, sélectionnez le VPC partagé et le sous-réseau qui est partagé dans le VPC partagé avec ce projet de service.
  2. Associez la VM à un domaine. Pour en savoir plus sur l'association d'une VM Windows à un domaine, consultez Associer une VM Windows à un domaine.
  3. Créez une connexion SQL Server à partir d'un utilisateur ou d'un groupe Windows. Pour en savoir plus, consultez Se connecter à une instance avec un utilisateur.
  4. Connectez-vous à l'aide du nom DNS de l'instance SQL Server. Pour en savoir plus, consultez l'étape 2 dans Se connecter à une instance avec un utilisateur.

Résumé

Vous avez appairé un domaine Microsoft AD géré à l'hôte du VPC partagé et vous avez créé SQL Server sur le VPC partagé. Avec cet appairage de domaines, l'authentification Windows inter-projets est activée pour SQL Server.

Bien que dans le scénario ci-dessus, les services Microsoft AD et SQL Server gérés se trouvent dans des projets de service différents, vous pouvez également les configurer dans le même projet de service.

Vous pouvez également disposer du domaine Microsoft AD géré dans le projet hôte. Dans ce cas, le VPC partagé doit être ajouté en tant que réseau autorisé au domaine Microsoft AD géré. Pour en savoir plus, consultez Ajouter des réseaux autorisés à un domaine existant.

Dans tous ces scénarios, via l'appairage avec un VPC partagé, le domaine est disponible pour le ou les projets de service associés au VPC partagé.