このトピックでは、Managed Service for Microsoft Active Directory(マネージド Microsoft AD)と共有 VPC 間のドメイン ピアリングを構成する方法について説明します。これにより、共有 VPC に接続されているサービス プロジェクトでマネージド Microsoft AD を使用できるようになります。
概要
マネージド Microsoft AD のドメイン ピアリングでは、各ドメイン リソースと VPC リソース プロジェクトにドメイン ピアリング リソースが作成されます。マネージド Microsoft AD と共有 VPC 間にドメイン ピアリングを作成することで、共有 VPC に接続されているすべてのプロジェクトでマネージド Microsoft AD ドメインを使用できるようになります。たとえば、マネージド Microsoft AD ドメインを使用して SQL Server に対して認証やログインを行うことができます。この場合、SQL Server とマネージド Microsoft AD は、共有 VPC に接続されている別のサービス プロジェクト内にあります。
始める前に
始める前に、次のことを行います。
Google Cloud Console のプロジェクト セレクタ ページで、3 つの Google Cloud プロジェクトを選択または作成します。これらはホスト プロジェクトとサービス プロジェクトと呼ばれます。ホスト プロジェクトは共有 VPC が有効になる場所です。マネージド Microsoft AD ドメインと Cloud SQL インスタンスは、異なるサービス プロジェクトに存在する必要があります。VM はいずれかのサービス プロジェクトに存在できます。
Cloud プロジェクトに対する課金を有効にします。詳細については、プロジェクトに対して課金が有効になっていることを確認するをご覧ください。
ホスト プロジェクトに対して共有 VPC を有効にします。詳細については、ホスト プロジェクトの有効化をご覧ください。
サービス プロジェクトを共有 VPC ネットワークに接続します。各プロジェクトで Compute Engine API を有効にする必要があります。この例では、共有 VPC に別々のサブネットを作成することをおすすめします。プロジェクトの接続時に、プロジェクトごとに適切なサブネットを選択します。詳細については、サービス プロジェクトの接続をご覧ください。
サービス プロジェクトでマネージド Microsoft AD ドメインを作成します。マネージド Microsoft AD ドメインの作成中に承認された VPC ネットワークは、共有 VPC ネットワークから独立しています。承認済みネットワークなしでマネージド Microsoft AD ドメインを作成するには、gcloud CLI コマンドを使用します。
ドメイン ピアリングの構成
ドメイン リソースを持つサービス プロジェクトから共有 VPC ネットワークへのドメイン ピアリングを作成します。ドメイン ピアリングの詳細については、ドメイン ピアリングの構成をご覧ください。
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME
以下を置き換えます。
ドメイン ピアリングを一覧表示して、状態を確認します。次の gcloud CLI コマンドを実行します。
gcloud active-directory peerings list --project=PROJECT_ID
PROJECT_ID は、ドメイン ピアリング リソースの作成に使用されるサービス プロジェクトのプロジェクト ID に置き換えます。
状態が
DISCONNECTEDとして返されます。ホスト プロジェクトからリバース ドメイン ピアリングを作成します。
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME \ --project=VPC-RESOURCE-PROJECT-ID
以下を置き換えます。
PEERING-RESOURCE-NAME: ドメイン ピアリング リソースの名前(my-domain-peeringなど)。DOMAIN-RESOURCE-NAME: Managed Microsoft AD ドメインの完全なリソース名。projects/PROJECT-ID/locations/global/domains/DOMAIN-NAMEの形式です。SHARED-VPC-NAME: 共有 VPC ネットワークの完全なリソース名。形式はprojects/PROJECT-ID/global/networks/NETWORK-NAMEです。VPC-RESOURCE-PROJECT-ID: 共有 VPC をホストしているホスト プロジェクトのプロジェクト ID。
ドメイン ピアリングを再度一覧表示して、状態を確認します。次の gcloud CLI コマンドを実行します。
gcloud active-directory peerings list --project=PROJECT_ID
PROJECT_ID は、ドメイン ピアリング リソースの作成に使用されるサービス プロジェクトのプロジェクト ID に置き換えます。
ホスト プロジェクトとサービス プロジェクトの両方から状態が
CONNECTEDとして返されます。
Cloud SQL(SQL Server)インスタンスを構成する
サービス プロジェクトにプライベート IP を有効にして Cloud SQL(SQL Server)インスタンスを作成し、共有 VPC のネットワークを選択します。詳細については、Windows 認証を使用するインスタンスを作成するをご覧ください。
ドメイン ピアリングが完了したら、マネージド Microsoft AD ドメインを認証に使用するように Cloud SQL(SQL Server)の構成を変更します。次の gcloud CLI コマンドを実行します。
gcloud beta sql instances patch INSTANCE-NAME \ --active-directory-domain=DOMAIN-RESOURCE-NAME
以下を置き換えます。
INSTANCE-NAME: サービス プロジェクトの Cloud SQL インスタンスの名前。DOMAIN-RESOURCE-NAME: 認証に使用するマネージド Microsoft AD ドメインの完全なリソース名。完全なリソース名の形式:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME。
詳細については、プロジェクト間の Windows 認証を有効にするをご覧ください。
SQL Server が Windows 認証を有効にして構成されました。
セットアップをテストする
- サービス プロジェクトに Windows または Linux VM を作成します。VM を作成する際に、共有 VPC と、このサービス プロジェクトと共有 VPC と共有するサブネットを選択します。
- VM をドメインに参加させます。Windows VM をドメインに参加させる方法については、Windows VM をドメインに参加させるをご覧ください。
- Windows ユーザーまたはグループに基づいて SQL Server ログインを作成します。詳細については、ユーザーを使用してインスタンスに接続するをご覧ください。
- SQL Server のインスタンス DNS 名を使用して接続します。詳細については、ユーザーを使用してインスタンスに接続するのステップ 2 をご覧ください。
Summary
共有 VPC ホストとマネージド Microsoft AD ドメインをピアリングし、共有 VPC に SQL Server を作成しました。このドメイン ピアリングを使用すると、SQL Server に対してプロジェクト間の Windows 認証が有効になります。
上記のシナリオでは、マネージド Microsoft AD と SQL Server は異なるサービス プロジェクトにありますが、同じサービス プロジェクトで構成することもできます。
また、ホストされたプロジェクトにマネージド Microsoft AD ドメインを含めることもできます。この場合、共有 VPC を承認済みネットワークとしてマネージド Microsoft AD ドメインに追加する必要があります。詳しくは、承認済みネットワークを既存のドメインに追加するをご覧ください。
すべてのシナリオで、共有 VPC とのピアリングにより、共有 VPC に接続されているサービス プロジェクトでそのドメインが使用可能になります。