Questa pagina è stata tradotta dall'API Cloud Translation.

Esegui il deployment di Microsoft AD gestito con accesso tra progetti utilizzando il peering di dominio

Questo argomento mostra come configurare il peering di dominio tra Managed Service for Microsoft Active Directory (Managed Microsoft AD) e VPC condiviso. In questo modo, puoi rendere disponibile Managed Microsoft AD per i progetti di servizio collegati alla VPC condivisa.

Panoramica

Il peering di dominio in Managed Microsoft AD crea una risorsa di peering di dominio in ogni progetto di risorse di dominio e VPC. Il dominio Microsoft Active Directory gestito può essere reso disponibile a tutti i progetti collegati alla rete VPC condivisa creando un peering di dominio tra Microsoft Active Directory gestito e la rete VPC condivisa. Ad esempio, puoi autenticarti e accedere a SQL Server utilizzando il dominio Microsoft Active Directory gestito, in cui SQL Server e Microsoft Active Directory gestito si trovano in progetti di servizio diversi collegati alla VPC condivisa.

Prima di iniziare

Prima di iniziare, segui questi passaggi:

Nella console Google Cloud, nella pagina di selezione dei progetti, seleziona o crea tre Google Cloud progetti. Si chiamano progetti host e di servizio. Il progetto host è il luogo in cui è abilitata la VPC condivisa. Il dominio Microsoft AD gestito e le istanze Cloud SQL devono trovarsi in progetti di servizi diversi. Le VM potrebbero trovarsi in uno dei progetti di servizio.

Vai al selettore dei progetti
Abilita la fatturazione per i tuoi progetti Cloud. Per ulteriori informazioni, vedi Verificare se la fatturazione è abilitata in un progetto.
Attiva la rete VPC condivisa nel progetto host. Per ulteriori informazioni, vedi Attivare un progetto host.
Collega i progetti di servizio alla rete VPC condivisa. Per ogni progetto è necessario abilitare l'API Compute Engine. Ai fini di questo esempio, consigliamo di creare subnet separate nel VPC condiviso. Durante l'attacco del progetto, scegli la subnet appropriata per ciascuno dei progetti. Per ulteriori informazioni, consulta Collegare i progetti di servizio.
Crea un dominio Microsoft AD gestito nel progetto di servizio. La rete VPC autorizzata durante la creazione del dominio Microsoft AD gestito è indipendente dalle reti VPC condivise. Per creare un dominio Microsoft AD gestito senza una rete autorizzata, utilizza il comando gcloud CLI.

Configurare il peering del dominio

Crea il peering di dominio dal progetto di servizio che ha la risorsa di dominio alla rete VPC condivisa. Per ulteriori informazioni sul peering di dominio, vedi Configurare il peering di dominio.
```
gcloud active-directory peerings create PEERING-RESOURCE-NAME \
--domain=DOMAIN-RESOURCE-NAME \
--authorized-network=SHARED-VPC-NAME
```
Sostituisci quanto segue:
- PEERING-RESOURCE-NAME: un nome per la risorsa di peering del dominio (ad esempio my-domain-peering).
- DOMAIN-RESOURCE-NAME: il nome completo della risorsa del tuo dominio Microsoft AD gestito, nella forma: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
- SHARED-VPC-NAME: il nome completo della risorsa della rete VPC condivisa, nel formato:projects/PROJECT-ID/global/networks/NETWORK-NAME.
Elenca i peering di dominio per verificare lo stato. Esegui il seguente comando gcloud CLI:
```
gcloud active-directory peerings list --project=PROJECT_ID
```
Sostituisci PROJECT_ID con l'ID del progetto di servizio utilizzato per creare la risorsa di peering di dominio.

Restituisce lo stato come DISCONNECTED.
Crea il peering di dominio inverso dal progetto host.
```
gcloud active-directory peerings create PEERING-RESOURCE-NAME \
--domain=DOMAIN-RESOURCE-NAME \
--authorized-network=SHARED-VPC-NAME \
--project=VPC-RESOURCE-PROJECT-ID
```
Sostituisci quanto segue:
- PEERING-RESOURCE-NAME: un nome per la risorsa di peering del dominio (ad esempio my-domain-peering).
- DOMAIN-RESOURCE-NAME: il nome completo della risorsa del tuo dominio Microsoft AD gestito, nella forma: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
- SHARED-VPC-NAME: il nome completo della risorsa della rete VPC condivisa, nel formato:projects/PROJECT-ID/global/networks/NETWORK-NAME.
- VPC-RESOURCE-PROJECT-ID: l'ID del progetto host che ospita il VPC condiviso.
Elenca di nuovo i peering di dominio per verificare lo stato. Esegui il seguente comando gcloud CLI:
```
gcloud active-directory peerings list --project=PROJECT_ID
```
Sostituisci PROJECT_ID con l'ID del progetto di servizio utilizzato per creare la risorsa di peering di dominio.

Restituisce lo stato CONNECTED sia dal progetto host che dal progetto di servizio.

Configura l'istanza Cloud SQL (SQL Server)

Crea l'istanza Cloud SQL (SQL Server) nel progetto di servizio con l'IP privato abilitato e seleziona la rete del VPC condiviso. Per ulteriori informazioni, consulta Creare un'istanza con l'autenticazione Windows.
Al termine del peering dei domini, modifica la configurazione di Cloud SQL (SQL Server) in modo da utilizzare il dominio Microsoft AD gestito per l'autenticazione. Esegui il seguente comando gcloud CLI:
```
gcloud beta sql instances patch INSTANCE-NAME \
--active-directory-domain=DOMAIN-RESOURCE-NAME
```
Sostituisci quanto segue:
- INSTANCE-NAME: il nome dell'istanza Cloud SQL nel progetto di servizio.
- DOMAIN-RESOURCE-NAME: il nome della risorsa completo del tuo dominio AD di Microsoft gestito che vuoi utilizzare per l'autenticazione. Formato del nome completo della risorsa: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
Per ulteriori informazioni, consulta Attivare l'autenticazione Windows tra progetti.

SQL Server è ora configurato con l'autenticazione Windows abilitata.

Testa la configurazione

Crea una VM Windows o Linux nel progetto di servizio. Durante la creazione della VM, seleziona la rete VPC condivisa e la subnet condivisa nella rete VPC condivisa con questo progetto di servizio.
Collega la VM a un dominio. Per ulteriori informazioni sull'aggiunta di una VM Windows a un dominio, consulta Aggiungere una VM Windows a un dominio.
Crea un accesso SQL Server basato su un utente o un gruppo Windows. Per ulteriori informazioni, consulta Connettersi a un'istanza con un utente.
Connettiti utilizzando il nome DNS dell'istanza SQL Server. Per ulteriori informazioni, consulta il passaggio 2 in Connettersi a un'istanza con un utente.

Riepilogo

Hai eseguito il peering di un dominio Microsoft AD gestito con l'host VPC condiviso e hai creato SQL Server nella VPC condivisa. Con questo peering di dominio, l'autenticazione Windows tra progetti è abilitata per SQL Server.

Sebbene nello scenario precedente AD Microsoft gestito e SQL Server si trovino in progetti di servizio diversi, è supportata anche la loro configurazione nello stesso progetto di servizio.

In alternativa, puoi anche avere il dominio Microsoft Active Directory gestito nel progetto host. In questo caso, la VPC condivisa deve essere aggiunta come rete autorizzata al dominio Microsoft AD gestito. Per ulteriori informazioni, vedi Aggiungere reti autorizzate a un dominio esistente.

In tutti questi scenari, tramite il peering con il VPC condiviso, il dominio è disponibile per i progetti di servizio collegati al VPC condiviso.

Esegui il deployment di Microsoft AD gestito con accesso tra progetti utilizzando il peering di dominio Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.