Puoi integrare Cloud SQL per SQL Server con Managed Service for Microsoft Active Directory (chiamato anche Managed Microsoft AD).
Questa pagina contiene informazioni da esaminare prima di iniziare un'integrazione. Dopo aver esaminato le seguenti informazioni, incluse le limitazioni, consulta Utilizzo di Cloud SQL con Microsoft Active Directory gestito.
Vantaggi dell'integrazione con Microsoft AD gestito
Autenticazione, autorizzazione e altro sono disponibili tramite Microsoft AD gestito. Ad esempio, l'unione di un'istanza a un dominio Microsoft AD gestito consente di accedere utilizzando l'autenticazione Windows con un'identità basata su AD.
L'integrazione di Cloud SQL per SQL Server con un dominio AD offre il vantaggio aggiuntivo dell'integrazione del cloud con i tuoi domini AD on-premise.
Prerequisiti per l'integrazione
Puoi eseguire l'integrazione con AD Microsoft gestito, aggiungendo il supporto dell'autenticazione Windows a un'istanza. Tuttavia, prima dell'integrazione, sono necessari i seguenti requisiti per il progetto Google Cloud:
- Un dominio Microsoft AD gestito. Per informazioni sulla configurazione di un
dominio, consulta
Creare un dominio.
- I domini AD on-premise richiedono una relazione attendibile AD gestita. Consulta Creare una relazione di attendibilità unidirezionale e Utilizzare un utente AD on-premise per creare un accesso Windows a Cloud SQL.
- Un account di servizio per prodotto e per progetto, come descritto nelle sezioni seguenti; consulta Creare un account di servizio.
Crea e configura un account di servizio
Devi disporre di un account di servizio per prodotto e progetto per ogni progetto che prevedi di integrare con Microsoft AD gestito. Utilizza gcloud
o la console per creare l'account a livello di progetto. All'account di servizio per prodotto e per progetto deve essere concesso il ruolo managedidentities.sqlintegrator
nel progetto. Per ulteriori informazioni, consulta
gcloud projects set-iam-policy.
Se utilizzi la console Google Cloud, Cloud SQL crea automaticamente un account di servizio e ti chiede di concedere il ruolo managedidentities.sqlintegrator
.
Per creare un account di servizio con gcloud
, esegui il seguente comando:
gcloud beta services identity create --service=sqladmin.googleapis.com \ --project=PROJECT_NUMBER
Questo comando restituisce il nome di un account di servizio nel seguente formato:
service-PROJECT_NUMBER
@gcp-sa-cloud-sql.iam.gserviceaccount.com
Ecco un esempio di nome di account di servizio:
service-333445@gcp-sa-cloud-sql.iam.gserviceaccount.com
La concessione dell'autorizzazione necessaria per l'integrazione richiede autorizzazioni esistenti. Per le autorizzazioni richieste, consulta Autorizzazioni richieste.
Per concedere l'autorizzazione necessaria per l'integrazione, esegui il seguente comando. Se AD di Microsoft gestito si trova in un progetto diverso, AD_PROJECT_ID
deve essere quello contenente l'istanza del servizio gestito per Microsoft Active Directory, mentre SQL_PROJECT_NUMBER
dell'account di servizio deve essere quello contenente l'istanza di SQL Server:
gcloud projects add-iam-policy-binding AD_PROJECT_ID \ --member=serviceAccount:service-SQL_PROJECT_NUMBER@gcp-sa-cloud-sql.iam.gserviceaccount.com \ --role=roles/managedidentities.sqlintegrator
Consulta anche gcloud beta services identity create.
Best practice per l'integrazione con Microsoft AD gestito
Quando pianifichi un'integrazione, esamina quanto segue:
- Prerequisiti per l'integrazione
- Integrazione con un dominio AD gestito in un progetto diverso
- Documentazione di Microsoft AD gestito
- Eseguire il deployment di controller di dominio in altre regioni
- Utilizza lo strumento di diagnostica AD per risolvere i problemi di configurazione di AD con il dominio on-premise e le istanze Cloud SQL per SQL Server nella console Google Cloud.
Avere un'istanza SQL Server e un'istanza AD gestita nella stessa regione offre la latenza di rete più bassa e le migliori prestazioni. Pertanto, se possibile, configura un'istanza SQL Server e un'istanza AD nella stessa regione. Inoltre, indipendentemente dal fatto che le configuri o meno nella stessa regione, configura una regione principale e una di backup per una maggiore disponibilità.
Topologie per l'integrazione con Microsoft AD gestito
Cloud SQL per SQL Server non supporta i gruppi locali di dominio. Tuttavia, puoi:
- Aggiungi gruppi globali o singoli accessi utente direttamente in SQL Server
- Utilizza i gruppi universali quando tutti i gruppi e gli utenti appartengono alla stessa foresta
Se i gruppi locali di dominio fossero supportati, i singoli account utente e i gruppi globali e universali potrebbero essere aggiunti come figli di un gruppo locale di dominio (che protegge l'accesso a SQL Server). In questo modo, potrai aggiungere un gruppo locale di dominio come accesso a SQL Server. In Cloud SQL per SQL Server, puoi attivare funzionalità simili, come descritto in questa sezione.
Opzione 1: aggiungi account utente e gruppi come accessi a SQL Server
Se hai più domini in più foreste e più gruppi globali, puoi aggiungere tutti i singoli account utente e i gruppi globali e universali direttamente come accessi a SQL Server. Come esempio dell'opzione 1, consulta il seguente diagramma:
Opzione 2: definisci un gruppo universale in uno dei tuoi domini
Se i tuoi domini si trovano nella stessa foresta, puoi definire un gruppo universale in uno dei tuoi domini. Poi puoi aggiungere tutti i singoli account dell'utente e i gruppi globali e universali come figli di quel gruppo universale definito e aggiungere il gruppo universale definito come accesso a SQL Server. Come esempio dell'opzione 2, consulta il seguente diagramma:
Limitazioni e alternative
Quando esegui l'integrazione con Microsoft AD gestito, si applicano le seguenti limitazioni:
- I gruppi locali di dominio non sono supportati, ma puoi aggiungere gruppi globali o singoli accessi utente direttamente in SQL Server. In alternativa, puoi utilizzare i gruppi universali quando tutti i gruppi e gli utenti appartengono alla stessa foresta.
- In genere, ai nuovi utenti creati tramite la console Google Cloud viene assegnato il ruolo
CustomerDbRootRole
, che ha questo ruolo del database fisso dell'agente SQL Server:SQLAgentUserRole
. Tuttavia, agli utenti creati direttamente tramite SQL Server, come gli utenti AD di Microsoft gestiti, non può essere assegnato questo ruolo né possono utilizzare l'agente SQL Server, perché il database MSDB in cui deve essere assegnato questo ruolo è protetto. - Alcune operazioni con limitazioni potrebbero generare il seguente errore: "Impossibile ottenere informazioni sul gruppo/utente Windows NT". Un esempio di questo tipo di operazione limitata è la creazione di accessi da parte di utenti di domini collegati tramite un rapporto di attendibilità. Un altro esempio è la concessione di privilegi agli utenti di domini collegati tramite un rapporto di attendibilità. In questi casi, spesso la ripetizione dell'operazione va a buon fine. Se il tentativo di nuovo accesso non va a buon fine, chiudi la connessione e apri una nuova connessione.
- I nomi di dominio completi (FQDN) non sono supportati da SQL Server su Windows. Pertanto, utilizza i nomi di dominio (nomi brevi) anziché i FQDN quando crei gli accessi a SQL Server. Ad esempio, se il tuo nome di dominio è
ad.mydomain.com
, crea gli accessi a SQL Server perad\user
anziché perad.mydomain.com\user
. - Per accedere alle istanze SQL Server, utilizza sempre i FQDN. Ad esempio, potresti utilizzare un FQDN simile a
private.myinstance.us-central1.myproject.cloudsql.mydomain.com
. I nomi NetBIOS non sono supportati, né i nomi brevi se i suffissi DNS sono omessi. - Gli accessi a SQL Server basati su utenti e gruppi di Active Directory non possono essere gestiti dalla console Google Cloud.
- In Cloud SQL, se un'istanza SQL Server è stata creata prima del 12 marzo 2021, non può essere integrata con AD Microsoft gestito.
- L'autenticazione Windows non funziona con una relazione attendibile esterna. L'errore potrebbe essere il seguente: "Il nome dell'entità di destinazione non è corretto. Impossibile generare il contesto SSPI." Inoltre, in base ai consigli di Microsoft, utilizza una relazione di attendibilità della foresta anziché una relazione di attendibilità esterna per l'autenticazione Kerberos.
Non supportato per l'integrazione
Le seguenti funzionalità non sono supportate durante l'integrazione con Microsoft Advertising gestito:
- Gruppi locali di dominio.
- Eliminazione degli accessi a SQL Server da parte di utenti di domini collegati tramite un rapporto di attendibilità. Puoi eseguire questa operazione con un utente del tuo
dominio gestito o tramite l'accesso
sqlserver
. - Autenticazione NTLM.
- Accedi con un indirizzo IP di domini collegati tramite un rapporto di attendibilità.
- Istanze con nomi lunghi (più di 63 caratteri).
Passaggi successivi
- Consulta la guida rapida per la creazione di un dominio Microsoft Active Directory gestito.
- Preparati a creare un'istanza Cloud SQL integrata.
- Scopri come creare una relazione di attendibilità tra i domini on-premise e un dominio Microsoft AD gestito.
- Scopri come visualizzare le istanze integrate.