Déployer Microsoft AD géré avec un accès interprojet à l'aide de l'appairage de domaines

Cette rubrique explique comment configurer l'appairage de domaines entre le service géré pour Microsoft Active Directory (Microsoft AD géré) et le VPC partagé. Vous pouvez ainsi rendre Microsoft AD géré disponible pour les projets de service associés au VPC partagé.

Présentation

L'appairage de domaines dans Microsoft AD géré crée une ressource d'appairage de domaine dans chaque ressource de domaine et chaque projet de ressources VPC. Vous pouvez mettre le domaine Microsoft AD géré à la disposition de tous les projets associés au VPC partagé en créant un appairage de domaine entre Microsoft AD géré et le VPC partagé. Par exemple, vous pouvez vous authentifier et vous connecter à SQL Server à l'aide du domaine Microsoft AD géré, où SQL Server et Microsoft AD géré se trouvent dans différents projets de service associés au VPC partagé.

Avant de commencer

Avant de commencer, procédez comme suit :

  1. Dans la console Google Cloud, sur la page de sélection du projet, sélectionnez ou créez trois Google Cloud projets. Il s'agit des projets hôte et de service. Le VPC partagé est activé dans le projet hôte. Le domaine Microsoft AD géré et les instances Cloud SQL doivent se trouver dans des projets de service différents. Les VM peuvent se trouver dans l'un des projets de service.

    Accéder au sélecteur de projet

  2. Activez la facturation pour vos projets Cloud. Pour en savoir plus, consultez Vérifier si la facturation est activée sur un projet.

  3. Activez le VPC partagé sur le projet hôte. Pour en savoir plus, consultez Activer un projet hôte.

  4. Associez le ou les projets de service au réseau VPC partagé. L'API Compute Engine doit être activée pour chacun des projets. Pour les besoins de cet exemple, nous vous recommandons de créer des sous-réseaux distincts dans le VPC partagé. Lorsque vous associez le projet, choisissez le sous-réseau approprié pour chacun d'eux. Pour en savoir plus, consultez la section Associer des projets de service.

  5. Créez un domaine Microsoft AD géré dans le projet de service. Le réseau VPC autorisé lors de la création du domaine Microsoft AD géré est indépendant des réseaux VPC partagés. Pour créer un domaine Microsoft AD géré sans réseau autorisé, utilisez la commande gcloud CLI.

Configurer l'appairage de domaines

  1. Créez un appariement de domaines à partir du projet de service contenant la ressource de domaine et du réseau VPC partagé. Pour en savoir plus sur l'appairage de domaines, consultez Configurer l'appairage de domaines.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
--domain=DOMAIN-RESOURCE-NAME \
--authorized-network=SHARED-VPC-NAME

    Remplacez les éléments suivants :

    • PEERING-RESOURCE-NAME: nom de votre ressource d'appairage de domaines (par exemple, my-domain-peering).
    • DOMAIN-RESOURCE-NAME : nom complet de la ressource de votre domaine Microsoft AD géré au format projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME : nom complet de la ressource de votre réseau VPC partagé, au format projects/PROJECT-ID/global/networks/NETWORK-NAME.

  2. Répertoriez les appairages de domaines pour vérifier leur état. Exécutez la commande de gcloud CLI suivante :

    gcloud active-directory peerings list --project=PROJECT_ID

    Remplacez PROJECT_ID par l'ID du projet de service utilisé pour créer votre ressource de peering de domaine.

    Il renvoie l'état DISCONNECTED.

  3. Créez l'appairage de domaine inverse à partir du projet hôte.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
--domain=DOMAIN-RESOURCE-NAME \
--authorized-network=SHARED-VPC-NAME \
--project=VPC-RESOURCE-PROJECT-ID

    Remplacez les éléments suivants :

    • PEERING-RESOURCE-NAME: nom de votre ressource d'appairage de domaines (par exemple, my-domain-peering).
    • DOMAIN-RESOURCE-NAME : nom complet de la ressource de votre domaine Microsoft AD géré au format projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME : nom complet de la ressource de votre réseau VPC partagé, au format projects/PROJECT-ID/global/networks/NETWORK-NAME.
    • VPC-RESOURCE-PROJECT-ID: ID du projet hôte qui héberge le VPC partagé.

  4. Répertoriez à nouveau les mises en paire de domaines pour vérifier leur état. Exécutez la commande de gcloud CLI suivante :

    gcloud active-directory peerings list --project=PROJECT_ID

    Remplacez PROJECT_ID par l'ID du projet de service utilisé pour créer votre ressource de peering de domaine.

    Il renvoie l'état CONNECTED à partir des projets hôte et de service.

Configurer l'instance Cloud SQL (SQL Server)

  1. Créez l'instance Cloud SQL (SQL Server) dans le projet de service avec l'adresse IP privée activée, puis sélectionnez le réseau du VPC partagé. Pour en savoir plus, consultez la section Créer une instance avec l'authentification Windows.

  2. Une fois l'association de domaines terminée, modifiez la configuration de Cloud SQL (SQL Server) pour qu'elle utilise votre domaine Microsoft AD géré pour l'authentification. Exécutez la commande de gcloud CLI suivante :

    gcloud beta sql instances patch INSTANCE-NAME \
--active-directory-domain=DOMAIN-RESOURCE-NAME

    Remplacez les éléments suivants :

    • INSTANCE-NAME: nom de votre instance Cloud SQL dans le projet de service.
    • DOMAIN-RESOURCE-NAME: nom complet de la ressource de votre domaine Microsoft AD géré que vous souhaitez utiliser pour l'authentification. Format du nom de ressource complet : projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.

    Pour en savoir plus, consultez Activer l'authentification Windows dans plusieurs projets.

SQL Server est maintenant configuré avec l'authentification Windows activée.

Tester la configuration

  1. Créez une VM Windows ou Linux dans le projet de service. Lorsque vous créez la VM, sélectionnez le VPC partagé et le sous-réseau partagé dans le VPC partagé avec ce projet de service.
  2. Associez la VM à un domaine. Pour en savoir plus sur l'association d'une VM Windows à un domaine, consultez Associer une VM Windows à un domaine.
  3. Créez une connexion SQL Server basée sur un utilisateur ou un groupe Windows. Pour en savoir plus, consultez Se connecter à une instance avec un utilisateur.
  4. Connectez-vous à l'aide du nom DNS de l'instance SQL Server. Pour en savoir plus, consultez l'étape 2 de la section Se connecter à une instance avec un utilisateur.

Résumé

Vous avez appairé un domaine Microsoft AD géré avec l'hôte du VPC partagé et créé SQL Server sur le VPC partagé. Avec ce peering de domaine, l'authentification Windows dans plusieurs projets est activée pour SQL Server.

Dans le scénario ci-dessus, Microsoft AD géré et SQL Server se trouvent dans des projets de service différents, mais il est également possible de les configurer dans le même projet de service.

Vous pouvez également placer le domaine Microsoft AD géré dans le projet hôte. Dans ce cas, le réseau VPC partagé doit être ajouté en tant que réseau autorisé au domaine Microsoft AD géré. Pour en savoir plus, consultez la section Ajouter des réseaux autorisés à un domaine existant.

Dans tous ces scénarios, grâce au peering avec le VPC partagé, le domaine est disponible pour le ou les projets de service associés au VPC partagé.