Neste tópico, mostramos como configurar o peering de domínio entre o serviço gerenciado do Microsoft Active Directory (Microsoft AD gerenciado) e a VPC compartilhada. Isso permite que você disponibilize o Microsoft AD gerenciado para projetos de serviço anexados à VPC compartilhada.
Visão geral
O peering de domínios no Microsoft AD gerenciado cria um recurso de peering de domínio em cada projeto de recurso de domínio e de VPC. O domínio do Microsoft AD gerenciado pode ser disponibilizado para todos os projetos anexados à VPC compartilhada criando um peering de domínio entre o Microsoft AD gerenciado e a VPC compartilhada. Por exemplo, é possível fazer a autenticação e fazer login no SQL Server usando o domínio do Managed Microsoft AD, em que o SQL Server e o Managed Microsoft AD estão em projetos de serviço diferentes anexados à VPC compartilhada.
Antes de começar
Antes de começar, faça o seguinte:
No console do Google Cloud, na página do seletor de projetos, selecione ou crie três projetos do Google Cloud. Eles são chamados de projetos host e de serviço. A VPC compartilhada é ativada no projeto host. O domínio do Microsoft AD gerenciado e as instâncias do Cloud SQL precisam estar em projetos de serviço diferentes. As VMs podem residir em um dos projetos de serviço.
Ative o faturamento dos seus projetos do Cloud. Para mais informações, consulte Verificar se o faturamento está ativado em um projeto.
Ative a VPC compartilhada no projeto host. Para mais informações, consulte Ativar um projeto host.
Anexe os projetos de serviço à rede VPC compartilhada. Cada um dos projetos precisa ter a API Compute Engine ativada. Para este exemplo, recomendamos criar sub-redes separadas na VPC compartilhada. Ao anexar o projeto, escolha a sub-rede apropriada para cada um deles. Para mais informações, consulte Anexar projetos de serviço.
Crie um domínio do Managed Microsoft AD no projeto de serviço. A rede VPC autorizada durante a criação do domínio do Microsoft AD gerenciado é independente das redes VPC compartilhada. Para criar um domínio do Microsoft AD gerenciado sem uma rede autorizada, use o comando da CLI gcloud.
Configurar o peering de domínio
Criar um peering de domínio a partir do projeto de serviço que tem o recurso de domínio com a rede VPC compartilhada. Para mais informações sobre o peering de domínio, consulte Configurar o peering de domínio.
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME
Substitua:
PEERING-RESOURCE-NAME
: um nome para seu recurso de peering de domínio (comomy-domain-peering
).DOMAIN-RESOURCE-NAME
: o nome completo do recurso do seu Domínio do Microsoft AD gerenciado na forma de:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME
.SHARED-VPC-NAME
: o nome completo do recurso do seu rede VPC compartilhada, na forma de:projects/PROJECT-ID/global/networks/NETWORK-NAME
.
Liste os peerings de domínio para verificar o estado. Execute o seguinte comando da CLI gcloud:
gcloud active-directory peerings list --project=PROJECT_ID
Substitua PROJECT_ID pelo ID do projeto de serviço usado para criar o recurso de peering de domínio.
Ele retorna o estado como
DISCONNECTED
.Crie o peering de domínio reverso no projeto host.
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME \ --project=VPC-RESOURCE-PROJECT-ID
Substitua:
PEERING-RESOURCE-NAME
: um nome para o recurso de peering de domínio (comomy-domain-peering
).DOMAIN-RESOURCE-NAME
: o nome completo do recurso do seu domínio do Microsoft AD gerenciado, no formato:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME
.SHARED-VPC-NAME
: o nome completo do recurso da rede VPC compartilhada no formato:projects/PROJECT-ID/global/networks/NETWORK-NAME
.VPC-RESOURCE-PROJECT-ID
: o ID do projeto host que hospeda a VPC compartilhada.
Liste os peerings de domínio novamente para verificar o estado. Execute o seguinte comando da CLI gcloud:
gcloud active-directory peerings list --project=PROJECT_ID
Substitua PROJECT_ID pelo ID do projeto de serviço usado para criar o recurso de peering de domínio.
Ele retorna o estado como
CONNECTED
dos projetos host e de serviço.
Configurar a instância do Cloud SQL (SQL Server)
Crie a instância do Cloud SQL (SQL Server) no projeto de serviço com o IP privado ativado e selecione a rede da VPC compartilhada. Para mais informações, consulte Criar uma instância com a autenticação do Windows.
Depois que o peering de domínio for concluído, modifique a configuração do Cloud SQL (SQL Server) para usar seu domínio do Microsoft AD gerenciado para autenticação. Execute o seguinte comando da CLI gcloud:
gcloud beta sql instances patch INSTANCE-NAME \ --active-directory-domain=DOMAIN-RESOURCE-NAME
Substitua:
INSTANCE-NAME
: o nome da sua instância do Cloud SQL no projeto de serviço.DOMAIN-RESOURCE-NAME
: o nome completo do recurso do seu domínio do Microsoft AD gerenciado que você quer usar para autenticação. Formato do nome completo do recurso:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME
:
Para mais informações, consulte Ativar a autenticação do Windows entre projetos.
O SQL Server agora está configurado com a autenticação do Windows ativada.
Testar a configuração
- Crie uma VM do Windows ou Linux no projeto de serviço. Ao criar a VM, selecione a VPC compartilhada e a sub-rede que é compartilhada na VPC compartilhada com este projeto de serviço.
- Mesclar a VM a um domínio. Para mais informações sobre como associar uma VM do Windows a um domínio, consulte Conectar uma VM do Windows a um domínio.
- Criar um login do SQL Server com base em um usuário ou grupo do Windows. Para mais informações, consulte Conectar a uma instância com um usuário.
- Conecte-se usando o nome DNS da instância do SQL Server. Para mais informações, consulte a Etapa 2 em Conectar-se a uma instância com um usuário.
Resumo
Você criou um par de domínios do Managed Microsoft AD com o host da VPC compartilhada e criou o SQL Server na VPC compartilhada. Com esse peering de domínio, a autenticação do Windows entre projetos é ativada para o SQL Server.
Embora no cenário acima o Microsoft AD gerenciado e o SQL Server estejam em projetos de serviço diferentes, também é possível configurá-los no mesmo projeto de serviço.
Como alternativa, você também pode ter o domínio do Microsoft AD gerenciado no projeto de host. Nesse caso, a VPC compartilhada precisa ser adicionada como uma rede autorizada ao domínio do Managed Microsoft AD. Para mais informações, consulte Como adicionar redes autorizadas a um domínio atual.
Em todos esses cenários por meio de peering com a VPC compartilhada, o domínio está disponível para os projetos de serviço anexados a ela.