이 주제에서는 Microsoft Active Directory용 관리형 서비스(관리형 Microsoft AD)와 공유 VPC 사이에 도메인 피어링을 구성하는 방법을 보여줍니다. 이렇게 하면 공유 VPC에 연결된 서비스 프로젝트에 관리형 Microsoft AD를 제공할 수 있습니다.
개요
관리형 Microsoft AD의 도메인 피어링은 각 도메인 리소스 및 VPC 리소스 프로젝트에 도메인 피어링 리소스를 만듭니다. 관리형 Microsoft AD 도메인은 관리형 Microsoft AD와 공유 VPC 사이에 도메인 피어링을 만들어서 공유 VPC에 연결된 모든 프로젝트에 제공될 수 있습니다. 예를 들어 관리형 Microsoft AD 도메인을 사용하여 SQL Server에 인증하고 로그인할 수 있습니다. 여기에서는 SQL Server 및 관리형 Microsoft AD가 공유 VPC에 연결된 서로 다른 서비스 프로젝트에 존재합니다.
시작하기 전에
시작하기 전에 다음을 수행합니다.
Google Cloud 콘솔의 프로젝트 선택기 페이지에서 3개의 Google Cloud 프로젝트를 선택하거나 만듭니다. 이를 호스트 및 서비스 프로젝트라고 부릅니다. 호스트 프로젝트는 공유 VPC가 사용 설정된 위치입니다. 관리형 Microsoft AD 도메인 및 Cloud SQL 인스턴스는 서로 다른 서비스 프로젝트에 있어야 합니다. VM은 서비스 프로젝트 중 하나에 존재할 수 있습니다.
클라우드 프로젝트에 대해 결제를 사용 설정합니다. 자세한 내용은 프로젝트에서 결제가 사용 설정되었는지 확인을 참조하세요.
호스트 프로젝트에서 공유 VPC를 사용 설정합니다. 자세한 내용은 호스트 프로젝트 사용 설정을 참조하세요.
공유 VPC 네트워크에 서비스 프로젝트를 연결합니다. 각 프로젝트에 Compute Engine API가 사용 설정되어 있어야 합니다. 이 예시에서는 공유 VPC에서 개별적으로 서브넷을 만드는 것이 좋습니다. 프로젝트를 연결하는 동안 각 프로젝트에 대해 적합한 서브넷을 선택합니다. 자세한 내용은 서비스 프로젝트 연결을 참조하세요.
서비스 프로젝트에서 관리형 Microsoft AD 도메인을 만듭니다. 관리형 Microsoft AD 도메인을 만드는 동안 승인되는 VPC 네트워크는 공유 VPC 네트워크와 독립적입니다. 승인된 네트워크 없이 관리형 Microsoft AD 도메인을 만들려면 gcloud CLI 명령어를 사용합니다.
도메인 피어링 구성
도메인 리소스가 있는 서비스 프로젝트에서 공유 VPC 네트워크로의 도메인 피어링을 만듭니다. 도메인 피어링에 대한 자세한 내용은 도메인 피어링 구성을 참조하세요.
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME
다음을 바꿉니다.
도메인 피어링을 나열하여 상태를 확인하세요. 다음 gcloud CLI 명령어를 실행합니다.
gcloud active-directory peerings list --project=PROJECT_ID
PROJECT_ID를 도메인 피어링 리소스를 만드는 데 사용되는 서비스 프로젝트의 프로젝트 ID로 바꿉니다.
상태가
DISCONNECTED로 반환됩니다.호스트 프로젝트에서 역방향 도메인 피어링을 만듭니다.
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME \ --project=VPC-RESOURCE-PROJECT-ID
다음을 바꿉니다.
PEERING-RESOURCE-NAME: 도메인 피어링 리소스 이름(예:my-domain-peering)DOMAIN-RESOURCE-NAME:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME형식으로 된 관리형 Microsoft AD 도메인의 전체 리소스 이름SHARED-VPC-NAME:projects/PROJECT-ID/global/networks/NETWORK-NAME형식으로 된 공유 VPC 네트워크의 전체 리소스 이름VPC-RESOURCE-PROJECT-ID: 공유 VPC를 호스팅하는 호스트 프로젝트의 프로젝트 ID
도메인 피어링을 다시 나열하여 상태를 확인하세요. 다음 gcloud CLI 명령어를 실행합니다.
gcloud active-directory peerings list --project=PROJECT_ID
PROJECT_ID를 도메인 피어링 리소스를 만드는 데 사용되는 서비스 프로젝트의 프로젝트 ID로 바꿉니다.
호스트 프로젝트와 서비스 프로젝트 모두에서 상태가
CONNECTED로 반환됩니다.
Cloud SQL(SQL Server) 인스턴스 구성
비공개 IP가 사용 설정된 서비스 프로젝트에 Cloud SQL(SQL Server) 인스턴스를 만들고 공유 VPC 네트워크를 선택합니다. 자세한 내용은 Windows 인증을 사용하여 인스턴스 만들기를 참조하세요.
도메인 피어링이 완료되면 인증에 관리형 Microsoft AD 도메인을 사용하도록 Cloud SQL(SQL Server) 구성을 수정합니다. 다음 gcloud CLI 명령어를 실행합니다.
gcloud beta sql instances patch INSTANCE-NAME \ --active-directory-domain=DOMAIN-RESOURCE-NAME
다음을 바꿉니다.
INSTANCE-NAME: 서비스 프로젝트의 Cloud SQL 인스턴스 이름DOMAIN-RESOURCE-NAME: 인증에 사용할 관리형 Microsoft AD 도메인의 전체 리소스 이름. 전체 리소스 이름 형식:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
자세한 내용은 프로젝트 간 Windows 인증 사용 설정을 참조하세요.
이제 Windows 인증을 사용 설정한 상태로 SQL Server가 구성되었습니다.
설정 테스트
- 서비스 프로젝트에서 Windows 또는 Linux VM을 만듭니다. VM을 만드는 동안 공유 VPC 그리고 공유 VPC에서 이 서비스 프로젝트와 공유된 서브넷을 선택합니다.
- 도메인에 VM을 가입시킵니다. 도메인에 Windows VM 가입에 대한 자세한 내용은 도메인에 Windows VM 가입을 참조하세요.
- Windows 사용자 또는 그룹을 기반으로 SQL Server 로그인을 만듭니다. 자세한 내용은 사용자로 인스턴스에 연결을 참조하세요.
- SQL Server의 인스턴스 DNS 이름을 사용하여 연결합니다. 자세한 내용은 사용자로 인스턴스에 연결의 2단계를 참조하세요.
요약
도메인에서 공유 VPC 호스트와 관리형 Microsoft AD 도메인을 피어링하고 공유 VPC에 SQL Server를 만들었습니다. 이 도메인 피어링을 사용하여 프로젝트 간 Windows 인증이 SQL Server에 대해 사용 설정됩니다.
위의 시나리오에서는 관리형 Microsoft AD와 SQL Server가 서로 다른 서비스 프로젝트에 있지만 동일한 서비스 프로젝트에 구성하는 방식도 지원됩니다.
또는 호스트 프로젝트에 관리형 Microsoft AD 도메인을 둘 수도 있습니다. 이 경우 공유 VPC를 관리형 Microsoft AD 도메인에 승인된 네트워크로 추가해야 합니다. 자세한 내용은 기존 도메인에 승인된 네트워크 추가를 참조하세요.
공유 VPC와 피어링하는 이러한 모든 시나리오에서, 공유 VPC에 연결된 서비스 프로젝트에서 도메인을 사용할 수 있습니다.