Implantar o Microsoft AD gerenciado com acesso entre projetos usando peering de domínio

Neste tópico, mostramos como configurar o peering de domínio entre o serviço gerenciado do Microsoft Active Directory (Microsoft AD gerenciado) e a VPC compartilhada. Isso permite que você disponibilize o Microsoft AD gerenciado para projetos de serviço anexados à VPC compartilhada.

Informações gerais

O peering de domínio no Microsoft AD gerenciado cria um recurso de peering de domínio em cada recurso de domínio e projetos de recursos de VPC. O domínio do Microsoft AD gerenciado pode ser disponibilizado para todos os projetos anexados à VPC compartilhada criando um peering de domínio entre o Microsoft AD gerenciado e a VPC compartilhada. Por exemplo, é possível autenticar e fazer login no SQL Server usando o domínio do Microsoft AD gerenciado, em que ele e o Microsoft AD gerenciado estão em projetos de serviço diferentes anexados à VPC compartilhada.

Antes de começar

Antes de começar, faça o seguinte:

  1. No console do Google Cloud, na página do seletor de projetos, escolha ou crie três projetos do Google Cloud. Eles são chamados de projetos host e de serviço. O projeto host é onde a VPC compartilhada está ativada. O domínio gerenciado do Microsoft AD e as instâncias do Cloud SQL precisam residir em projetos de serviço diferentes. As VMs podem residir em um dos projetos de serviço.

    Acessar o seletor de projetos

  2. Ative o faturamento dos seus projetos do Cloud. Para mais informações, consulte Verificar se o faturamento está ativado em um projeto.

  3. Ative a VPC compartilhada no projeto host. Para mais informações, consulte Ativar um projeto host.

  4. Anexe o(s) projeto(s) de serviço à rede VPC compartilhada. A API Compute Engine precisa estar ativada em cada um dos projetos. Neste exemplo, recomendamos criar sub-redes separadas na VPC compartilhada. Ao anexar o projeto, escolha a sub-rede apropriada para cada um deles. Saiba mais em Anexar projetos de serviço.

  5. Crie um domínio do Microsoft AD gerenciado no projeto de serviço. A rede VPC autorizada ao criar o domínio do Microsoft AD gerenciado é independente das redes VPC compartilhada. Para criar um domínio do Microsoft AD gerenciado sem uma rede autorizada, use o comando da CLI gcloud.

Configurar o peering de domínio

  1. Criar um peering de domínio do projeto de serviço que tem o recurso de domínio com a rede VPC compartilhada. Para mais informações sobre o peering de domínio, consulte Configurar o peering de domínio.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
--domain=DOMAIN-RESOURCE-NAME \
--authorized-network=SHARED-VPC-NAME

    Substitua:

    • PEERING-RESOURCE-NAME: um nome para o recurso de peering de domínio (como my-domain-peering).
    • DOMAIN-RESOURCE-NAME: o nome completo do recurso do seu domínio do Microsoft AD gerenciado, na forma de: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME: o nome completo do recurso da rede VPC compartilhada, na forma de: projects/PROJECT-ID/global/networks/NETWORK-NAME.

  2. Liste os peerings de domínio para verificar o estado. Execute o seguinte comando da CLI gcloud:

    gcloud active-directory peerings list --project=PROJECT_ID

    Substitua PROJECT_ID pelo ID do projeto de serviço usado para criar o recurso de peering de domínio.

    Ele retorna o estado como DISCONNECTED.

  3. Crie o peering de domínio reverso do projeto host.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
--domain=DOMAIN-RESOURCE-NAME \
--authorized-network=SHARED-VPC-NAME \
--project=VPC-RESOURCE-PROJECT-ID

    Substitua:

    • PEERING-RESOURCE-NAME: um nome para o recurso de peering de domínio (como my-domain-peering).
    • DOMAIN-RESOURCE-NAME: o nome completo do recurso do seu domínio do Microsoft AD gerenciado, na forma de: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME: o nome completo do recurso da rede VPC compartilhada, na forma de: projects/PROJECT-ID/global/networks/NETWORK-NAME.
    • VPC-RESOURCE-PROJECT-ID: o ID do projeto host que hospeda a VPC compartilhada.

  4. Liste novamente os peerings de domínio para verificar o estado. Execute o seguinte comando da CLI gcloud:

    gcloud active-directory peerings list --project=PROJECT_ID

    Substitua PROJECT_ID pelo ID do projeto de serviço usado para criar o recurso de peering de domínio.

    Ele retorna o estado como CONNECTED dos projetos host e de serviço.

Configurar a instância do Cloud SQL (SQL Server)

  1. Crie a instância do Cloud SQL (SQL Server) no projeto de serviço com o IP privado ativado e selecione a rede da VPC compartilhada. Para mais informações, consulte Criar uma instância com a autenticação do Windows.

  2. Depois que o peering de domínio for concluído, modifique a configuração do Cloud SQL (SQL Server) para usar seu domínio do Microsoft AD gerenciado na autenticação. Execute o seguinte comando da CLI gcloud:

    gcloud beta sql instances patch INSTANCE-NAME \
--active-directory-domain=DOMAIN-RESOURCE-NAME

    Substitua:

    • INSTANCE-NAME: o nome da instância do Cloud SQL no projeto de serviço.
    • DOMAIN-RESOURCE-NAME: o nome completo do recurso do domínio do Microsoft AD gerenciado que você quer usar para autenticação. Formato do nome completo do recurso: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.

    Saiba mais em Ativar a autenticação do Windows entre projetos.

O SQL Server agora está configurado com a autenticação do Windows ativada.

Testar a configuração

  1. Crie uma VM do Windows ou Linux no projeto de serviço. Ao criar a VM, selecione a VPC compartilhada e a sub-rede que é compartilhada na VPC compartilhada com esse projeto de serviço.
  2. Associe a VM a um domínio. Para mais informações sobre como mesclar uma VM do Windows a um domínio, consulte Associar uma VM do Windows a um domínio.
  3. Crie um login do SQL Server com base em um usuário ou grupo do Windows. Para mais informações, consulte Conectar-se a uma instância com um usuário.
  4. Conecte-se usando o nome DNS da instância do SQL Server. Para mais informações, consulte a etapa 2 em Conectar-se a uma instância com um usuário.

Resumo

Você fez peering de um domínio do Microsoft AD gerenciado com o host da VPC compartilhada e criou o SQL Server na VPC compartilhada. Com esse peering de domínio, a autenticação do Windows entre projetos é ativada para o SQL Server.

Embora no cenário acima o Microsoft AD gerenciado e o SQL Server estejam em projetos de serviço diferentes, também é possível configurar esses produtos no mesmo projeto.

Como alternativa, também é possível ter o domínio do Microsoft AD gerenciado no projeto host. Nesse caso, a VPC compartilhada precisa ser adicionada como uma rede autorizada ao domínio do Microsoft AD gerenciado. Para mais informações, consulte Como adicionar redes autorizadas a um domínio atual.

Em todos esses cenários, por meio de peering com a VPC compartilhada, o domínio fica disponível para os projetos de serviço anexados à VPC compartilhada.