Implementa Microsoft AD administrado con acceso entre proyectos con el intercambio de tráfico entre dominios

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En este tema, se muestra cómo configurar el intercambio de tráfico entre dominios del servicio administrado para Microsoft Active Directory (Microsoft AD administrado) y la VPC compartida. Esto te permite hacer que Microsoft AD administrado esté disponible para proyectos de servicio vinculados a una VPC compartida.

Descripción general

El intercambio de tráfico entre dominios en Microsoft AD administrado crea un recurso de intercambio de tráfico de dominio en cada recurso de dominio y en los proyectos de recursos de VPC. El dominio administrado de Microsoft AD puede poner a disposición de todos los proyectos vinculados a la VPC compartida mediante el intercambio de tráfico entre dominios de Microsoft AD administrado y VPC compartida. Por ejemplo, puedes autenticarte y acceder a SQL Server con el dominio administrado de Microsoft AD, en el que SQL Server y Microsoft AD administrados están en diferentes proyectos de servicio que están conectados a la VPC compartida.

Antes de comenzar

Antes de comenzar, haz lo siguiente:

  1. En la página del selector de proyectos de Google Cloud Console, selecciona o crea tres proyectos de Google Cloud. Se llaman proyectos host y de servicio. El proyecto host es donde está habilitada la VPC compartida. El dominio administrado de Microsoft AD y las instancias de Cloud SQL deben estar en diferentes proyectos de servicio. Las VM pueden residir en uno de los proyectos de servicio.

    Ir al selector de proyectos

  2. Habilita la facturación para tus proyectos de Cloud. Para obtener más información, consulta Verifica si la facturación está habilitada en un proyecto.

  3. Habilita la VPC compartida en el proyecto host. Para obtener más información, consulta Habilita un proyecto host.

  4. Vincula los proyectos de servicio a la red de VPC compartida. Cada uno de los proyectos debe tener habilitada la API de Compute Engine. A los fines de este ejemplo, recomendamos crear subredes separadas en la VPC compartida. Cuando adjuntes el proyecto, elige la subred adecuada para cada uno de ellos. Para obtener más información, consulta Cómo vincular proyectos de servicio.

  5. Crea un dominio administrado de Microsoft AD en el proyecto de servicio. La red de VPC autorizada durante la creación del dominio de Microsoft AD administrado es independiente de las redes de VPC compartidas. Para crear un dominio de Microsoft AD administrado sin una red autorizada, usa el comando gcloud CLI.

Configura el intercambio de tráfico entre dominios

  1. Crea un intercambio de tráfico entre dominios desde el proyecto de servicio que tiene el recurso del dominio hacia la red de VPC compartida. Para obtener más información sobre el intercambio de tráfico entre dominios, consulta Configura el intercambio de tráfico entre dominios.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
--domain=DOMAIN-RESOURCE-NAME \
--authorized-network=SHARED-VPC-NAME

    Reemplaza lo siguiente:

    • PEERING-RESOURCE-NAME: un nombre para el recurso de intercambio de tráfico del dominio (como my-domain-peering)
    • DOMAIN-RESOURCE-NAME: Es el nombre completo del recurso de tu dominio administrado de Microsoft AD, con el formato projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME: El nombre completo del recurso de tu red de VPC compartida, con el formato: projects/PROJECT-ID/global/networks/NETWORK-NAME.

  2. Enumera los intercambios de tráfico del dominio para verificar el estado. Ejecuta el siguiente comando de la CLI de gcloud:

    gcloud active-directory peerings list –project=PROJECT_ID

    Reemplaza PROJECT_ID por el ID del proyecto de servicio que se usa para crear el recurso de intercambio de tráfico del dominio.

    Muestra el estado como DISCONNECTED.

  3. Crea el intercambio de tráfico de dominio inverso desde el proyecto host.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
--domain=DOMAIN-RESOURCE-NAME \
--authorized-network=SHARED-VPC-NAME
--project=VPC-RESOURCE-PROJECT-ID

    Reemplaza lo siguiente:

    • PEERING-RESOURCE-NAME: un nombre para el recurso de intercambio de tráfico del dominio (como my-domain-peering)
    • DOMAIN-RESOURCE-NAME: Es el nombre completo del recurso de tu dominio administrado de Microsoft AD, con el formato projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME: El nombre completo del recurso de tu red de VPC compartida, con el formato: projects/PROJECT-ID/global/networks/NETWORK-NAME.
    • VPC-RESOURCE-PROJECT-ID: Es el ID del proyecto host que aloja la VPC compartida.

  4. Vuelve a enumerar los intercambios de tráfico para verificar el estado. Ejecuta el siguiente comando de la CLI de gcloud:

    gcloud active-directory peerings list --project=PROJECT_ID

    Reemplaza PROJECT_ID por el ID del proyecto de servicio que se usa para crear el recurso de intercambio de tráfico del dominio.

    Muestra el estado como CONNECTED desde los proyectos host y de servicio.

Configura la instancia de Cloud SQL (SQL Server)

  1. Crea la instancia de Cloud SQL (SQL Server) en el proyecto de servicio con la IP privada habilitada y selecciona la red de la VPC compartida. Para obtener más información, consulta Crea una instancia con la autenticación de Windows.

  2. Una vez completado el intercambio de tráfico entre dominios, modifica la configuración de Cloud SQL (SQL Server) a fin de usar tu dominio de Microsoft AD administrado para la autenticación. Ejecuta el siguiente comando de la CLI de gcloud:

    gcloud beta sql instances patch INSTANCE-NAME \
--active-directory-domain=DOMAIN-RESOURCE-NAME

    Reemplaza lo siguiente:

    • INSTANCE-NAME: Es el nombre de la instancia de Cloud SQL en el proyecto de servicio.
    • DOMAIN-RESOURCE-NAME: Es el nombre completo del recurso del dominio de Microsoft AD administrado que deseas usar para la autenticación. Formato de nombre de recurso completo: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.

    Para obtener más información, consulta Habilita la autenticación entre proyectos de Windows.

SQL Server ahora está configurado con la autenticación de Windows habilitada.

Prueba la configuración

  1. Crea una VM de Windows o Linux en el proyecto de servicio. Mientras creas la VM, selecciona la VPC compartida y la subred que se comparte en la VPC compartida con este proyecto de servicio.
  2. Une la VM a un dominio. Para obtener más información sobre cómo unir una VM de Windows a un dominio, consulta Une una VM de Windows a un dominio.
  3. Crea un acceso a SQL Server basado en un usuario o grupo de Windows. Para obtener más información, consulta Conéctate a una instancia con un usuario.
  4. Conéctate mediante el nombre de DNS de la instancia de SQL Server. Para obtener más información, consulta el paso 2 en Conéctate a una instancia con un usuario.

Resumen

Tiene un dominio que intercambia el tráfico de un dominio de Microsoft AD administrado con el host de VPC compartida y que creó SQL Server en la VPC compartida. Con este intercambio de tráfico entre dominios, se habilita la autenticación entre proyectos de Windows para SQL Server.

En la situación anterior, Microsoft AD administrado y SQL Server se encuentran en diferentes proyectos de servicio, pero también es posible configurarlos en el mismo proyecto de servicio.

Como alternativa, puedes tener el dominio de Microsoft AD administrado en el proyecto host. En este caso, la VPC compartida debe agregarse como una red autorizada al dominio administrado de Microsoft AD. Para obtener más información, consulta Cómo agregar redes autorizadas a un dominio existente.

En todas estas situaciones mediante el intercambio de tráfico con VPC compartida, el dominio está disponible para los proyectos de servicio vinculados a la VPC compartida.