Implantar o Managed Microsoft AD com acesso entre projetos usando o peering de domínio

Neste tópico, mostramos como configurar o peering de domínio entre o serviço gerenciado do Microsoft Active Directory (Microsoft AD gerenciado) e a VPC compartilhada. Isso permite que você disponibilize o Microsoft AD gerenciado para projetos de serviço anexados à VPC compartilhada.

Visão geral

O peering de domínios no Microsoft AD gerenciado cria um recurso de peering de domínio em cada projeto de recurso de domínio e de VPC. O domínio do Microsoft AD gerenciado pode ser disponibilizado para todos os projetos anexados à VPC compartilhada criando um peering de domínio entre o Microsoft AD gerenciado e a VPC compartilhada. Por exemplo, é possível fazer a autenticação e fazer login no SQL Server usando o domínio do Managed Microsoft AD, em que o SQL Server e o Managed Microsoft AD estão em projetos de serviço diferentes anexados à VPC compartilhada.

Antes de começar

Antes de começar, faça o seguinte:

  1. No console do Google Cloud, na página do seletor de projetos, selecione ou crie três projetos do Google Cloud. Eles são chamados de projetos host e de serviço. A VPC compartilhada é ativada no projeto host. O domínio do Microsoft AD gerenciado e as instâncias do Cloud SQL precisam estar em projetos de serviço diferentes. As VMs podem residir em um dos projetos de serviço.

    Acessar o seletor de projetos

  2. Ative o faturamento dos seus projetos do Cloud. Para mais informações, consulte Verificar se o faturamento está ativado em um projeto.

  3. Ative a VPC compartilhada no projeto host. Para mais informações, consulte Ativar um projeto host.

  4. Anexe os projetos de serviço à rede VPC compartilhada. Cada um dos projetos precisa ter a API Compute Engine ativada. Para este exemplo, recomendamos criar sub-redes separadas na VPC compartilhada. Ao anexar o projeto, escolha a sub-rede apropriada para cada um deles. Para mais informações, consulte Anexar projetos de serviço.

  5. Crie um domínio do Managed Microsoft AD no projeto de serviço. A rede VPC autorizada durante a criação do domínio do Microsoft AD gerenciado é independente das redes VPC compartilhada. Para criar um domínio do Microsoft AD gerenciado sem uma rede autorizada, use o comando da CLI gcloud.

Configurar o peering de domínio

  1. Criar um peering de domínio a partir do projeto de serviço que tem o recurso de domínio com a rede VPC compartilhada. Para mais informações sobre o peering de domínio, consulte Configurar o peering de domínio.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
    --domain=DOMAIN-RESOURCE-NAME \
    --authorized-network=SHARED-VPC-NAME
    

    Substitua:

    • PEERING-RESOURCE-NAME: um nome para seu recurso de peering de domínio (como my-domain-peering).
    • DOMAIN-RESOURCE-NAME: o nome completo do recurso do seu Domínio do Microsoft AD gerenciado na forma de: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME: o nome completo do recurso do seu rede VPC compartilhada, na forma de: projects/PROJECT-ID/global/networks/NETWORK-NAME.
  2. Liste os peerings de domínio para verificar o estado. Execute o seguinte comando da CLI gcloud:

    gcloud active-directory peerings list --project=PROJECT_ID
    

    Substitua PROJECT_ID pelo ID do projeto de serviço usado para criar o recurso de peering de domínio.

    Ele retorna o estado como DISCONNECTED.

  3. Crie o peering de domínio reverso no projeto host.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
    --domain=DOMAIN-RESOURCE-NAME \
    --authorized-network=SHARED-VPC-NAME \
    --project=VPC-RESOURCE-PROJECT-ID
    

    Substitua:

    • PEERING-RESOURCE-NAME: um nome para o recurso de peering de domínio (como my-domain-peering).
    • DOMAIN-RESOURCE-NAME: o nome completo do recurso do seu domínio do Microsoft AD gerenciado, no formato: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME: o nome completo do recurso da rede VPC compartilhada no formato: projects/PROJECT-ID/global/networks/NETWORK-NAME.
    • VPC-RESOURCE-PROJECT-ID: o ID do projeto host que hospeda a VPC compartilhada.
  4. Liste os peerings de domínio novamente para verificar o estado. Execute o seguinte comando da CLI gcloud:

    gcloud active-directory peerings list --project=PROJECT_ID
    

    Substitua PROJECT_ID pelo ID do projeto de serviço usado para criar o recurso de peering de domínio.

    Ele retorna o estado como CONNECTED dos projetos host e de serviço.

Configurar a instância do Cloud SQL (SQL Server)

  1. Crie a instância do Cloud SQL (SQL Server) no projeto de serviço com o IP privado ativado e selecione a rede da VPC compartilhada. Para mais informações, consulte Criar uma instância com a autenticação do Windows.

  2. Depois que o peering de domínio for concluído, modifique a configuração do Cloud SQL (SQL Server) para usar seu domínio do Microsoft AD gerenciado para autenticação. Execute o seguinte comando da CLI gcloud:

    gcloud beta sql instances patch INSTANCE-NAME \
    --active-directory-domain=DOMAIN-RESOURCE-NAME
    

    Substitua:

    • INSTANCE-NAME: o nome da sua instância do Cloud SQL no projeto de serviço.
    • DOMAIN-RESOURCE-NAME: o nome completo do recurso do seu domínio do Microsoft AD gerenciado que você quer usar para autenticação. Formato do nome completo do recurso: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME:

    Para mais informações, consulte Ativar a autenticação do Windows entre projetos.

O SQL Server agora está configurado com a autenticação do Windows ativada.

Testar a configuração

  1. Crie uma VM do Windows ou Linux no projeto de serviço. Ao criar a VM, selecione a VPC compartilhada e a sub-rede que é compartilhada na VPC compartilhada com este projeto de serviço.
  2. Mesclar a VM a um domínio. Para mais informações sobre como associar uma VM do Windows a um domínio, consulte Conectar uma VM do Windows a um domínio.
  3. Criar um login do SQL Server com base em um usuário ou grupo do Windows. Para mais informações, consulte Conectar a uma instância com um usuário.
  4. Conecte-se usando o nome DNS da instância do SQL Server. Para mais informações, consulte a Etapa 2 em Conectar-se a uma instância com um usuário.

Resumo

Você criou um par de domínios do Managed Microsoft AD com o host da VPC compartilhada e criou o SQL Server na VPC compartilhada. Com esse peering de domínio, a autenticação do Windows entre projetos é ativada para o SQL Server.

Embora no cenário acima o Microsoft AD gerenciado e o SQL Server estejam em projetos de serviço diferentes, também é possível configurá-los no mesmo projeto de serviço.

Como alternativa, você também pode ter o domínio do Microsoft AD gerenciado no projeto de host. Nesse caso, a VPC compartilhada precisa ser adicionada como uma rede autorizada ao domínio do Managed Microsoft AD. Para mais informações, consulte Como adicionar redes autorizadas a um domínio atual.

Em todos esses cenários por meio de peering com a VPC compartilhada, o domínio está disponível para os projetos de serviço anexados a ela.