Acesso entre projetos usando o peering de domínio

Este tópico mostra como configurar o peering de domínio entre o Managed Service para Microsoft Active Directory (Microsoft AD gerenciado) e a VPC compartilhada. Isso permite disponibilizar o Microsoft AD gerenciado para projetos de serviço anexados à VPC compartilhada.

Visão geral

O peering de domínio no Microsoft AD gerenciado cria um recurso de peering de domínio em cada recurso de domínio e projetos de recursos da VPC. O domínio do Microsoft AD gerenciado pode ser disponibilizado para todos os projetos anexados à VPC compartilhada ao criar um peering de domínio entre o Microsoft AD gerenciado e a VPC compartilhada. Por exemplo, é possível autenticar e fazer login no SQL Server usando o domínio do Microsoft AD gerenciado, em que o SQL Server e o Microsoft AD gerenciado estão em diferentes projetos de serviço anexados à VPC compartilhada.

Antes de começar

Antes de começar, faça o seguinte:

  1. Na página do seletor de projetos, no Console do Google Cloud, selecione ou crie três projetos do Google Cloud. Eles são chamados de projetos host e de serviço. O projeto host é onde a VPC compartilhada está ativada. O domínio do Microsoft AD gerenciado e as instâncias do Cloud SQL precisam residir em diferentes projetos de serviço. As VMs podem residir em um dos projetos de serviço.

    Acessar o seletor de projetos

  2. Ative o faturamento dos seus projetos do Cloud. Para mais informações, consulte Verificar se o faturamento está ativado em um projeto.

  3. Ativar a VPC compartilhada no projeto host. Para ver mais informações, consulte Ativar um projeto host.

  4. Anexe os projetos de serviço à rede VPC compartilhada. Todos os projetos precisam ter a API Compute Engine ativada. Para este exemplo, recomendamos criar sub-redes separadas na VPC compartilhada. Ao anexar o projeto, escolha a sub-rede apropriada de cada um deles. Para mais informações, consulte Anexar projetos de serviço.

  5. Crie um domínio do Microsoft AD gerenciado no projeto de serviço. A rede VPC autorizada ao criar o domínio do Microsoft AD gerenciado é independente das redes VPC compartilhadas. Para criar um domínio do Microsoft AD gerenciado sem uma rede autorizada, use o comando da CLI gcloud.

Configurar o peering de domínio

  1. Crie um peering de domínio a partir do projeto de serviço que tem o recurso de domínio na rede VPC compartilhada. Veja mais informações sobre o peering de domínio em Configurar o peering de domínio.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
    --domain=DOMAIN-RESOURCE-NAME \
    --authorized-network=SHARED-VPC-NAME
    

    Substitua:

    • PEERING-RESOURCE-NAME: um nome para seu recurso de peering de domínio (como my-domain-peering).
    • DOMAIN-RESOURCE-NAME: o nome completo do recurso do seu domínio do Microsoft AD gerenciado, no formato: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME: o nome completo do recurso da sua rede VPC compartilhada, no formato: projects/PROJECT-ID/global/networks/NETWORK-NAME.
  2. Liste os peerings de domínio para verificar o estado. Execute o seguinte comando da CLI gcloud:

    gcloud active-directory peerings list –project=PROJECT_ID
    

    Substitua PROJECT_ID pelo ID do projeto de serviço usado para criar o recurso de peering de domínio.

    Ele retorna o estado como DISCONNECTED.

  3. Crie o peering de domínio reverso do projeto host.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
    --domain=DOMAIN-RESOURCE-NAME \
    --authorized-network=SHARED-VPC-NAME
    --project=VPC-RESOURCE-PROJECT-ID
    

    Substitua:

    • PEERING-RESOURCE-NAME: um nome para seu recurso de peering de domínio (como my-domain-peering).
    • DOMAIN-RESOURCE-NAME: o nome completo do recurso do seu domínio do Microsoft AD gerenciado, no formato: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME: o nome completo do recurso da sua rede VPC compartilhada, no formato: projects/PROJECT-ID/global/networks/NETWORK-NAME.
    • VPC-RESOURCE-PROJECT-ID: o ID do projeto host que hospeda a VPC compartilhada.
  4. Liste os peerings de domínio novamente para verificar o estado. Execute o seguinte comando da CLI gcloud:

    gcloud active-directory peerings list –project=PROJECT_ID
    

    Substitua PROJECT_ID pelo ID do projeto de serviço usado para criar o recurso de peering de domínio.

    Ele retorna o estado como CONNECTED dos projetos host e de serviço.

Configurar a instância do Cloud SQL (SQL Server)

  1. Crie a instância do Cloud SQL (SQL Server) no projeto de serviço com o IP privado ativado e selecione a rede da VPC compartilhada. Para mais informações, consulte Criar uma instância com a Autenticação do Windows.

  2. Depois que o peering de domínio for concluído, modifique a configuração do Cloud SQL (SQL Server) para fazer a autenticação no seu domínio do Microsoft AD gerenciado. Execute o seguinte comando da CLI gcloud:

    gcloud beta sql instances patch INSTANCE-NAME \
    --active-directory-domain=DOMAIN-RESOURCE-NAME
    

    Substitua:

    • INSTANCE-NAME: o nome da sua instância do Cloud SQL no projeto de serviço.
    • DOMAIN-RESOURCE-NAME: o nome completo do recurso do seu domínio do Microsoft AD gerenciado que você quer usar para a autenticação. Formato completo do nome de recurso: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.

    Para mais informações, consulte Ativar autenticação entre projetos do Windows.

O SQL Server agora está configurado com a autenticação do Windows ativada.

Testar a configuração

  1. Crie uma VM do Windows ou Linux no projeto de serviço. Ao criar a VM, selecione a VPC compartilhada e a sub-rede compartilhada na VPC compartilhada com este projeto de serviço.
  2. Mesclar a VM a um domínio. Para mais informações sobre como mesclar uma VM do Windows a um domínio, consulte Como mesclar uma VM do Windows a um domínio.
  3. Crie um login do SQL Server com base em um usuário ou grupo do Windows. Para mais informações, consulte Como se conectar a uma instância com um usuário.
  4. Conecte-se usando o nome DNS da instância do SQL Server. Para saber mais, consulte a Etapa 2 em Como se conectar a uma instância com um usuário.

Resumo

Você fez peering de um domínio do Microsoft AD gerenciado com o host de VPC compartilhada e criou o SQL Server na VPC compartilhada. Com esse peering de domínio, a autenticação entre projetos do Windows é ativada para o SQL Server.

Embora no cenário acima o Microsoft AD gerenciado e o SQL Server estejam em projetos de serviço diferentes, também é possível configurá-los no mesmo projeto de serviço.

Outra opção é ter o domínio do Microsoft AD gerenciado no projeto host. Nesse caso, a VPC compartilhada precisa ser adicionada como uma rede autorizada ao domínio do Microsoft AD gerenciado. Veja mais informações em Como adicionar redes autorizadas a um domínio existente.

Em todos esses cenários, por meio do peering com a VPC compartilhada, o domínio está disponível para os projetos de serviço anexados à VPC compartilhada.