En este tema, se muestra cómo configurar el intercambio de tráfico de dominio entre el servicio administrado para Microsoft Active Directory (Microsoft AD administrado) y la VPC compartida. Esto te permite hacer que Microsoft AD administrado esté disponible para los proyectos de servicio conectados a la VPC compartida.
Descripción general
El intercambio de tráfico entre dominios en Microsoft AD administrado crea un recurso de intercambio de tráfico entre dominios en cada proyecto de recursos de dominio y de VPC. El dominio de Microsoft AD administrado puede estar disponible para todos los proyectos conectados a la VPC compartida si se crea un intercambio de tráfico entre dominios entre Microsoft AD administrado y la VPC compartida. Por ejemplo, puedes autenticarte y acceder a SQL Server con el dominio de Microsoft AD administrado, en el que SQL Server y Microsoft AD administrado se encuentran en diferentes proyectos de servicio conectados a la VPC compartida.
Antes de comenzar
Antes de comenzar, haz lo siguiente:
En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea tres proyectos de Google Cloud. Se llaman proyectos host y de servicio. La VPC compartida se habilita en el proyecto host. El dominio de Microsoft AD administrado y las instancias de Cloud SQL deben residir en proyectos de servicio diferentes. Las VMs podrían residir en uno de los proyectos de servicio.
Habilita la facturación para tus proyectos de Cloud. Para obtener más información, consulta Cómo verificar si la facturación está habilitada en un proyecto.
Habilita la VPC compartida en el proyecto host. Para obtener más información, consulta Habilita un proyecto de host.
Adjunta los proyectos de servicio a la red de VPC compartida. Cada uno de los proyectos debe tener habilitada la API de Compute Engine. Para los fines de este ejemplo, te recomendamos que crees subredes independientes en la VPC compartida. Mientras adjuntas el proyecto, elige la subred adecuada para cada uno de ellos. Para obtener más información, consulta Adjunta proyectos de servicio.
Crea un dominio de Microsoft AD administrado en el proyecto de servicio. La red de VPC autorizada durante la creación del dominio de Microsoft AD administrado es independiente de las redes de VPC compartida. Para crear un dominio de Microsoft AD administrado sin una red autorizada, usa el comando de gcloud CLI.
Configura el intercambio de tráfico entre dominios
Crea un intercambio de tráfico de dominios desde el proyecto de servicio que tiene el recurso de dominio a la red de VPC compartida. Para obtener más información sobre el intercambio de tráfico de dominio, consulta Configura el intercambio de tráfico de dominio.
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME
Reemplaza lo siguiente:
PEERING-RESOURCE-NAME: Es un nombre para el recurso de intercambio de tráfico entre dominios (comomy-domain-peering).DOMAIN-RESOURCE-NAME: Es el nombre de recurso completo de tu dominio de Microsoft AD administrado, con el formatoprojects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.SHARED-VPC-NAME: Es el nombre de recurso completo de tu red de VPC compartida, con el formatoprojects/PROJECT-ID/global/networks/NETWORK-NAME.
Enumera los intercambios de tráfico de dominio para verificar el estado. Ejecuta el siguiente comando de la CLI de gcloud:
gcloud active-directory peerings list --project=PROJECT_ID
Reemplaza PROJECT_ID por el ID del proyecto de servicio que se usa para crear tu recurso de vinculación de dominios.
Muestra el estado como
DISCONNECTED.Crea el vínculo de dominio inverso desde el proyecto host.
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME \ --project=VPC-RESOURCE-PROJECT-ID
Reemplaza lo siguiente:
PEERING-RESOURCE-NAME: Es un nombre para el recurso de intercambio de tráfico entre dominios (comomy-domain-peering).DOMAIN-RESOURCE-NAME: Es el nombre de recurso completo de tu dominio de Microsoft AD administrado, con el formatoprojects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.SHARED-VPC-NAME: Es el nombre de recurso completo de tu red de VPC compartida, con el formatoprojects/PROJECT-ID/global/networks/NETWORK-NAME.VPC-RESOURCE-PROJECT-ID: Es el ID del proyecto host que aloja la VPC compartida.
Vuelve a enumerar los pares de dominios para verificar el estado. Ejecuta el siguiente comando de la CLI de gcloud:
gcloud active-directory peerings list --project=PROJECT_ID
Reemplaza PROJECT_ID por el ID del proyecto de servicio que se usa para crear tu recurso de vinculación de dominios.
Muestra el estado como
CONNECTEDdesde los proyectos host y de servicio.
Configura la instancia de Cloud SQL (SQL Server)
Crea la instancia de Cloud SQL (SQL Server) en el proyecto de servicio con la IP privada habilitada y selecciona la red de la VPC compartida. Para obtener más información, consulta Crea una instancia con Windows Authentication.
Una vez que se complete el aprovisionamiento de dominios, modifica la configuración de Cloud SQL (SQL Server) para usar tu dominio de Microsoft AD administrado para la autenticación. Ejecuta el siguiente comando de la CLI de gcloud:
gcloud beta sql instances patch INSTANCE-NAME \ --active-directory-domain=DOMAIN-RESOURCE-NAME
Reemplaza lo siguiente:
INSTANCE-NAME: Es el nombre de tu instancia de Cloud SQL en el proyecto de servicio.DOMAIN-RESOURCE-NAME: Es el nombre de recurso completo de tu dominio de Microsoft AD administrado que deseas usar para la autenticación. Formato del nombre de recurso completo:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
Para obtener más información, consulta Habilita la autenticación de Windows entre proyectos.
SQL Server ahora está configurado con la autenticación de Windows habilitada.
Prueba la configuración
- Crea una VM de Windows o Linux en el proyecto de servicio. Cuando crees la VM, selecciona la VPC compartida y la subred que se comparte en la VPC compartida con este proyecto de servicio.
- Une la VM a un dominio. Para obtener más información sobre cómo unir una VM de Windows a un dominio, consulta Cómo unir una VM de Windows a un dominio.
- Crea un acceso a SQL Server basado en un usuario o grupo de Windows. Para obtener más información, consulta Cómo conectarse a una instancia con un usuario.
- Conéctate con el nombre de DNS de la instancia de SQL Server. Para obtener más información, consulta el paso 2 en Cómo conectarse a una instancia con un usuario.
Resumen
Intercambiaste el tráfico de un dominio de Microsoft AD administrado con el host de la VPC compartida y creaste SQL Server en la VPC compartida. Con este aprovisionamiento de dominios, se habilita la autenticación de Windows entre proyectos para SQL Server.
Si bien, en el caso anterior, Microsoft AD administrado y SQL Server se encuentran en diferentes proyectos de servicio, también se admite configurarlos en el mismo proyecto de servicio.
Como alternativa, también puedes tener el dominio de Microsoft AD administrado en el proyecto host. En este caso, la VPC compartida debe agregarse como una red autorizada al dominio de Microsoft AD administrado. Para obtener más información, consulta Agrega redes autorizadas a un dominio existente.
En todos estos casos, a través del emparejamiento con la VPC compartida, el dominio está disponible para los proyectos de servicio conectados a la VPC compartida.