使用网域对等互连部署具有跨项目访问权限的代管式 Microsoft AD

本主题介绍了如何在 Managed Service for Microsoft Active Directory（代管式 Microsoft AD）和共享 VPC 之间配置网域对等互连。这样，您就可以将 Managed Microsoft AD 用于连接到共享 VPC 的服务项目。

概览

Managed Microsoft AD 中的网域对等互连，会在每个网域资源和 VPC 资源项目中创建一个网域对等互连资源。在代管式 Microsoft AD 与共享 VPC 之间创建网域对等互连，可将代管式 Microsoft AD 网域提供给连接到共享 VPC 的所有项目。例如，您可以使用 Managed Microsoft AD 网域对 SQL Server 进行身份验证并登录，其中 SQL Server 和 Managed Microsoft AD 在连接到共享 VPC 的不同服务项目中。

准备工作

在开始之前，请执行以下操作：

1. 在 Google Cloud 控制台的项目选择器页面上，选择或创建三个 Google Cloud 项目。它们称为宿主项目和服务项目。在宿主项目中启用了共享 VPC。代管式 Microsoft AD 网域和 Cloud SQL 实例必须位于不同的服务项目中。虚拟机可以位于其中一个服务项目中。

   转到“项目选择器”

2. 为您的 Cloud 项目启用结算功能。如需了解详情，请参阅检查项目是否已启用结算功能。

3. 在宿主项目上启用共享 VPC。如需了解详情，请参阅启用宿主项目。

4. 将服务项目连接到共享 VPC 网络。每个项目都需要启用 Compute Engine API。在本示例中，我们建议您在共享 VPC 中创建单独的子网。在关联该项目时，请为每个项目选择适当的子网。如需了解详情，请参阅关联服务项目。

5. 在服务项目中创建一个代管式 Microsoft AD 网域。创建 Managed Microsoft AD 网域时授权的 VPC 网络与共享 VPC 网络无关。如需创建没有授权网络的代管式 Microsoft AD 网域，请使用 gcloud CLI 命令。

配置网域对等互连

1. 创建从具有网域资源的服务项目到共享 VPC 网络的网域对等互连。如需详细了解网域对等互连，请参阅配置网域对等互连。

   gcloud active-directory peerings create PEERING-RESOURCE-NAME \
   --domain=DOMAIN-RESOURCE-NAME \
   --authorized-network=SHARED-VPC-NAME
   

   替换以下内容：

   • PEERING-RESOURCE-NAME：您的网域对等互连资源的名称（例如 my-domain-peering）。
   • DOMAIN-RESOURCE-NAME：代管式 Microsoft AD 网域的完整资源名称，采用 projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME 格式。
   • SHARED-VPC-NAME：共享 VPC 网络的完整资源名称，格式为：projects/PROJECT-ID/global/networks/NETWORK-NAME。

2. 列出网域对等互连以验证状态。运行以下 gcloud CLI 命令：

   gcloud active-directory peerings list --project=PROJECT_ID
   

   将 PROJECT_ID 替换为用于创建网域对等互连资源的服务项目的项目 ID。

   它以 DISCONNECTED 的形式返回状态。

3. 从宿主项目创建反向网域对等互连。

   gcloud active-directory peerings create PEERING-RESOURCE-NAME \
   --domain=DOMAIN-RESOURCE-NAME \
   --authorized-network=SHARED-VPC-NAME \
   --project=VPC-RESOURCE-PROJECT-ID
   

   替换以下内容：

   • PEERING-RESOURCE-NAME：您的网域对等互连资源的名称（例如 my-domain-peering）。
   • DOMAIN-RESOURCE-NAME：代管式 Microsoft AD 网域的完整资源名称，采用 projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME 格式。
   • SHARED-VPC-NAME：共享 VPC 网络的完整资源名称，格式为：projects/PROJECT-ID/global/networks/NETWORK-NAME。
   • VPC-RESOURCE-PROJECT-ID：托管共享 VPC 的宿主项目的项目 ID。

4. 再次列出网域对等互连以验证状态。运行以下 gcloud CLI 命令：

   gcloud active-directory peerings list --project=PROJECT_ID
   

   将 PROJECT_ID 替换为用于创建网域对等互连资源的服务项目的项目 ID。

   它从宿主项目和服务项目返回 CONNECTED 状态。

配置 Cloud SQL (SQL Server) 实例

1. 在启用了专用 IP 的服务项目中创建 Cloud SQL (SQL Server) 实例，并选择共享 VPC 的网络。如需了解详情，请参阅创建使用 Windows 身份验证的实例。

2. 完成网域对等互连后，修改 Cloud SQL (SQL Server) 配置以使用 Managed Microsoft AD 网域进行身份验证。运行以下 gcloud CLI 命令：

   gcloud beta sql instances patch INSTANCE-NAME \
   --active-directory-domain=DOMAIN-RESOURCE-NAME
   

   替换以下内容：

   • INSTANCE-NAME：服务项目中 Cloud SQL 实例的名称。
   • DOMAIN-RESOURCE-NAME：您要用于身份验证的代管式 Microsoft AD 网域的完整资源名称。完整资源名称格式：projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME。

   如需了解详情，请参阅启用跨项目 Windows 身份验证。

SQL Server 现在配置为启用了 Windows 身份验证。

测试设置

1. 在服务项目中创建一个 Windows 或 Linux 虚拟机。创建虚拟机时，选择共享 VPC 以及在共享 VPC 中与此服务项目共享的子网。
2. 将虚拟机加入网域。如需详细了解如何将 Windows 虚拟机加入网域，请参阅将 Windows 虚拟机加入网域。
3. 基于 Windows 用户或群组创建 SQL Server 登录。如需了解详情，请参阅通过用户身份连接到实例。
4. 使用 SQL Server 的实例 DNS 名称进行连接。如需了解详情，请参阅通过用户连接到实例中的第 2 步。

摘要

您已网域将代管式 Microsoft AD 网域与共享 VPC 主机对等互连，并在共享 VPC 上创建了 SQL Server。通过此网域对等互连，为 SQL Server 启用了跨项目 Windows 身份验证。

在上述场景中，代管式 Microsoft AD 和 SQL Server 位于不同的服务项目中，但也支持在同一服务项目中配置它们。

或者，您也可以在宿主项目中包含 Managed Microsoft AD 网域。在这种情况下，需要将共享 VPC 作为已获授权的网络添加到代管式 Microsoft AD 网域中。如需了解详情，请参阅向现有网域添加已获授权的网络。

在所有这些场景中，通过与共享 VPC 建立对等互连，网域可供连接到共享 VPC 的服务项目使用。