Acceso entre proyectos con el intercambio de tráfico entre dominios

En este tema, se muestra cómo configurar el intercambio de tráfico de dominios entre el servicio administrado para Microsoft Active Directory (Microsoft AD administrado) y la VPC compartida. Esto permite que Microsoft AD administrado esté disponible para proyectos de servicio adjuntos a una VPC compartida.

Descripción general

En el intercambio de tráfico entre dominios de Microsoft AD administrado, se crea un recurso de intercambio de tráfico de dominio en cada recurso de dominio y en los proyectos de recursos de VPC. El dominio de Microsoft AD administrado puede estar disponible para todos los proyectos adjuntos a la VPC compartida. Para ello, se crea un intercambio de tráfico entre dominios de Microsoft AD administrado y VPC compartida. Por ejemplo, puede autenticarse y acceder a SQL Server con el dominio de Microsoft AD administrado, en el que SQL Server y Microsoft AD administrado están en diferentes proyectos de servicio que están conectados a la VPC compartida.

Antes de comenzar

Antes de comenzar, haz lo siguiente:

  1. En Google Cloud Console, en la página del selector de proyectos, selecciona o crea tres proyectos de Google Cloud. Se llaman proyectos de host y de servicio. El proyecto host es donde está habilitada la VPC compartida. El dominio de Microsoft AD administrado y las instancias de Cloud SQL deben residir en diferentes proyectos de servicio. Las VM podrían residir en uno de los proyectos de servicio.

    Ir al selector de proyectos

  2. Habilita la facturación para tus proyectos de Cloud. Para obtener más información, consulta Cómo verificar si la facturación está habilitada en un proyecto.

  3. Habilita la VPC compartida en el proyecto host. Para obtener más información, consulta Habilita un proyecto host.

  4. Adjunta los proyectos de servicio a la red de VPC compartida. Cada proyecto debe tener habilitada la API de Compute Engine. A los fines de este ejemplo, recomendamos crear subredes separadas en la VPC compartida. Cuando adjuntes el proyecto, elige la subred adecuada para cada uno de ellos. Para obtener más información, consulta Cómo adjuntar proyectos de servicio.

  5. Crea un dominio de Microsoft AD administrado en el proyecto de servicio. La red de VPC autorizada durante la creación del dominio de Microsoft AD administrado es independiente de las redes de VPC compartida. Para crear un dominio de Microsoft AD administrado sin una red autorizada, usa el comando de la CLI de gcloud.

Configura el intercambio de tráfico entre dominios

  1. Crear intercambio de tráfico de dominio desde el proyecto de servicio que tiene el recurso de dominio a la red de VPC compartida Para obtener más información sobre el intercambio de tráfico entre dominios, consulte Configura el intercambio de tráfico del dominio.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
    --domain=DOMAIN-RESOURCE-NAME \
    --authorized-network=SHARED-VPC-NAME
    

    Reemplaza lo siguiente:

    • PEERING-RESOURCE-NAME: Es un nombre para el recurso de intercambio de tráfico de dominio (como my-domain-peering).
    • DOMAIN-RESOURCE-NAME: Es el nombre completo del recurso del dominio de Microsoft AD administrado, con el formato: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME: Es el nombre completo del recurso de la red de VPC compartida, con el formato: projects/PROJECT-ID/global/networks/NETWORK-NAME.
  2. Enumera los intercambios de tráfico del dominio para verificar el estado. Ejecuta el siguiente comando de la CLI de gcloud:

    gcloud active-directory peerings list –project=PROJECT_ID
    

    Reemplaza PROJECT_ID por el ID del proyecto de servicio que se utiliza para crear tu recurso de intercambio de tráfico de dominio.

    Muestra el estado como DISCONNECTED.

  3. Crea el intercambio de tráfico de dominio inverso desde el proyecto host.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
    --domain=DOMAIN-RESOURCE-NAME \
    --authorized-network=SHARED-VPC-NAME
    --project=VPC-RESOURCE-PROJECT-ID
    

    Reemplaza lo siguiente:

    • PEERING-RESOURCE-NAME: Es un nombre para el recurso de intercambio de tráfico de dominio (como my-domain-peering).
    • DOMAIN-RESOURCE-NAME: Es el nombre completo del recurso del dominio de Microsoft AD administrado, con el formato: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME: Es el nombre completo del recurso de la red de VPC compartida, con el formato: projects/PROJECT-ID/global/networks/NETWORK-NAME.
    • VPC-RESOURCE-PROJECT-ID: El ID del proyecto host que aloja la VPC compartida.
  4. Vuelve a enumerar los intercambios de tráfico del dominio para verificar el estado. Ejecuta el siguiente comando de la CLI de gcloud:

    gcloud active-directory peerings list –project=PROJECT_ID
    

    Reemplaza PROJECT_ID por el ID del proyecto de servicio que se utiliza para crear tu recurso de intercambio de tráfico de dominio.

    Muestra el estado como CONNECTED de los proyectos host y de servicio.

Configure la instancia de Cloud SQL (SQL Server)

  1. Cree la instancia de Cloud SQL (SQL Server) en el proyecto de servicio con IP privada habilitada y seleccione la red de la VPC compartida. Para obtener más información, consulta Crea una instancia con Authentication de Windows.

  2. Una vez que se complete el intercambio de tráfico entre dominios, modifique la configuración de Cloud SQL (SQL Server) a fin de usar su dominio de Microsoft AD administrado para la autenticación. Ejecuta el siguiente comando de la CLI de gcloud:

    gcloud beta sql instances patch INSTANCE-NAME \
    --active-directory-domain=DOMAIN-RESOURCE-NAME
    

    Reemplaza lo siguiente:

    • INSTANCE-NAME: Es el nombre de la instancia de Cloud SQL en el proyecto de servicio.
    • DOMAIN-RESOURCE-NAME: Es el nombre completo del recurso del dominio de Microsoft AD administrado que deseas usar para la autenticación. Formato de nombre de recurso completo: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.

    Para obtener más información, consulta Habilita la autenticación de varios proyectos para Windows.

SQL Server ahora está configurado con la autenticación de Windows habilitada.

Prueba la configuración

  1. Crea una VM de Windows o Linux en el proyecto de servicio. Mientras crea la VM, seleccione la VPC compartida y la subred compartida en la VPC compartida con este proyecto de servicio.
  2. Une la VM a un dominio. Para obtener más información sobre cómo unir una VM de Windows a un dominio, consulta Une una VM de Windows a un dominio.
  3. Crea un acceso a SQL Server basado en un usuario o grupo de Windows. Para obtener más información, consulta Conéctate a una instancia con un usuario.
  4. Conéctate mediante el nombre de DNS de la instancia de SQL Server. Para obtener más información, consulta el paso 2 en Conéctate a una instancia con un usuario.

Resumen

Tiene un dominio que intercambia tráfico con un dominio de Microsoft AD administrado con el host de VPC compartida y creó SQL Server en la VPC compartida. Con este intercambio de tráfico entre dominios, la autenticación entre proyectos de Windows está habilitada para SQL Server.

Mientras que en la situación anterior, Microsoft AD y SQL Server administrados están en diferentes proyectos de servicio, también se admite su configuración en el mismo proyecto de servicio.

Como alternativa, también puedes tener el dominio de Microsoft AD administrado en el proyecto host. En este caso, la VPC compartida debe agregarse como una red autorizada al dominio de Microsoft AD administrado. Para obtener más información, consulta Cómo agregar redes autorizadas a un dominio existente.

En todas estas situaciones, a través del intercambio de tráfico con VPC compartida, el dominio está disponible para los proyectos de servicio adjuntos a la VPC compartida.