Questo argomento mostra come configurare il peering di dominio tra Managed Service for Microsoft Active Directory (Managed Microsoft AD) e VPC condiviso. In questo modo puoi rendere disponibile Microsoft AD gestito per i progetti di servizio collegati al VPC condiviso.
Panoramica
Il peering di dominio in Microsoft AD gestito crea una risorsa di peering del dominio in ogni risorsa di dominio e in ogni progetto di risorsa VPC. Il dominio Microsoft AD gestito può essere reso disponibile a tutti i progetti collegati al VPC condiviso creando un peering di dominio tra Microsoft AD gestito e il VPC condiviso. Ad esempio, puoi eseguire l'autenticazione e accedere a SQL Server utilizzando il dominio Microsoft AD gestito, dove SQL Server e Microsoft AD gestito si trovano in progetti di servizio diversi collegati al VPC condiviso.
Prima di iniziare
Prima di iniziare, procedi nel seguente modo:
Nella pagina del selettore dei progetti della console Google Cloud, seleziona o crea tre progetti Google Cloud. Sono detti progetti host e di servizio. Nel progetto host è abilitato il VPC condiviso. Il dominio Microsoft AD gestito e le istanze Cloud SQL devono trovarsi in progetti di servizio diversi. Le VM potrebbero trovarsi in uno dei progetti di servizio.
Abilita la fatturazione per i tuoi progetti Cloud. Per saperne di più, consulta Controllare se la fatturazione è abilitata per un progetto.
Abilita il VPC condiviso nel progetto host. Per maggiori informazioni, vedi Abilitare un progetto host.
Collega i progetti di servizio alla rete VPC condiviso. L'API Compute Engine deve essere abilitata per ogni progetto. Ai fini di questo esempio, consigliamo di creare subnet separate nel VPC condiviso. Durante il collegamento del progetto, scegli la subnet appropriata per ciascuno dei progetti. Per maggiori informazioni, vedi Collegare progetti di servizio.
Crea un dominio Microsoft AD gestito nel progetto di servizio. La rete VPC autorizzata durante la creazione del dominio Microsoft AD gestito è indipendente dalle reti VPC condiviso. Per creare un dominio Microsoft AD gestito senza una rete autorizzata, utilizza il comando gcloud CLI.
Configura il peering di dominio
Crea il peering di dominio dal progetto di servizio che ha la risorsa di dominio alla rete VPC condiviso. Per ulteriori informazioni sul peering di dominio, consulta Configurare il peering di dominio.
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME
Sostituisci quanto segue:
PEERING-RESOURCE-NAME: un nome per la risorsa di peering del dominio, ad esempiomy-domain-peering.DOMAIN-RESOURCE-NAME: il nome completo della risorsa del dominio Microsoft AD gestito, nel formatoprojects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.SHARED-VPC-NAME: il nome completo della risorsa della tua rete VPC condiviso, nel formato:projects/PROJECT-ID/global/networks/NETWORK-NAME.
Elenca i peering di dominio per verificare lo stato. Esegui il seguente comando gcloud CLI:
gcloud active-directory peerings list --project=PROJECT_ID
Sostituisci PROJECT_ID con l'ID del progetto di servizio utilizzato per creare la risorsa di peering del dominio.
Restituisce lo stato
DISCONNECTED.Crea il peering di dominio inverso dal progetto host.
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME \ --project=VPC-RESOURCE-PROJECT-ID
Sostituisci quanto segue:
PEERING-RESOURCE-NAME: un nome per la risorsa di peering del dominio, ad esempiomy-domain-peering.DOMAIN-RESOURCE-NAME: il nome completo della risorsa del dominio Microsoft AD gestito, nel formatoprojects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.SHARED-VPC-NAME: il nome completo della risorsa della tua rete VPC condiviso, nel formato:projects/PROJECT-ID/global/networks/NETWORK-NAME.VPC-RESOURCE-PROJECT-ID: l'ID del progetto host che ospita il VPC condiviso.
Elenca di nuovo i peering di dominio per verificare lo stato. Esegui il seguente comando gcloud CLI:
gcloud active-directory peerings list --project=PROJECT_ID
Sostituisci PROJECT_ID con l'ID del progetto di servizio utilizzato per creare la risorsa di peering del dominio.
Restituisce lo stato
CONNECTEDdai progetti host e di servizio.
Configura l'istanza Cloud SQL (SQL Server)
Crea l'istanza Cloud SQL (SQL Server) nel progetto di servizio con IP privato abilitato e seleziona la rete del VPC condiviso. Per saperne di più, vedi Creare un'istanza con l'autenticazione Windows.
Una volta completato il peering di dominio, modifica la configurazione di Cloud SQL (SQL Server) in modo da utilizzare il dominio Microsoft AD gestito per l'autenticazione. Esegui il seguente comando gcloud CLI:
gcloud beta sql instances patch INSTANCE-NAME \ --active-directory-domain=DOMAIN-RESOURCE-NAME
Sostituisci quanto segue:
INSTANCE-NAME: il nome dell'istanza Cloud SQL nel progetto di servizio.DOMAIN-RESOURCE-NAME: il nome completo della risorsa del dominio Microsoft AD gestito che vuoi utilizzare per l'autenticazione. Formato del nome completo della risorsa:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
Per saperne di più, vedi Attivare l'autenticazione Windows tra progetti.
SQL Server ora è configurato con l'autenticazione di Windows abilitata.
Testa la configurazione
- Creare una VM Windows o Linux nel progetto di servizio. Durante la creazione della VM, seleziona il VPC condiviso e la subnet condivisa nel VPC condiviso con questo progetto di servizio.
- Unisci la VM a un dominio. Per saperne di più sull'unione di una VM Windows a un dominio, vedi Aggiungere una VM Windows a un dominio.
- Crea un accesso a SQL Server basato su un utente o un gruppo di Windows. Per maggiori informazioni, vedi Connettersi a un'istanza con un utente.
- Connettiti utilizzando il nome DNS dell'istanza di SQL Server. Per saperne di più, vedi il passaggio 2 in Connettersi a un'istanza con un utente.
Riepilogo
Il dominio è stato connesso in peering un dominio Microsoft AD gestito con l'host VPC condiviso e hai creato SQL Server sul VPC condiviso. Con questo peering di dominio, l'autenticazione Windows tra progetti è abilitata per SQL Server.
Sebbene nello scenario precedente Microsoft AD e SQL Server gestiti si trovino in progetti di servizio diversi, è anche supportata la loro configurazione nello stesso progetto di servizio.
In alternativa, puoi anche avere il dominio Microsoft AD gestito nel progetto host. In questo caso, il VPC condiviso deve essere aggiunto come rete autorizzata al dominio Microsoft AD gestito. Per ulteriori informazioni, consulta Aggiunta di reti autorizzate a un dominio esistente.
In tutti questi scenari tramite peering con VPC condiviso, il dominio è disponibile per i progetti di servizio collegati al VPC condiviso.