Cloud SQL 中的代管式 Microsoft AD 概览

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

您可以将 Cloud SQL for SQL Server 与 Managed Service for Microsoft Active Directory(也称为代管式 Microsoft AD)集成。

本页面包含在您开始集成之前需要查看的信息。查看以下信息(包括限制)后,请参阅将 Cloud SQL 与代管式 Microsoft AD 配合使用

与代管式 Microsoft AD 集成的优势

您可以通过代管式 Microsoft AD 进行身份验证、授权等。例如,将实例加入代管式 Microsoft AD 网域后,您可以使用基于 AD 的身份的 Windows 身份验证进行登录。

将 Cloud SQL for SQL Server 与 AD 网域集成具有 Cloud 与本地 AD 网域集成的额外优势。

集成的前提条件

您可以与代管式 Microsoft AD 集成,从而为实例添加对 Windows 身份验证的支持。但是,在集成之前,您的 Google Cloud 项目需要具有以下各项:

创建和配置服务帐号

您需要为计划与代管式 Microsoft AD 集成的项目提供每个产品、每个项目的服务帐号。使用 gcloud 或控制台在项目级层创建帐号。每个产品、每个项目的服务帐号都应被授予项目的 managedidentities.sqlintegrator 角色。如需了解详情,请参阅 gcloud projects set-iam-policy

如果您使用的是 Google Cloud Console,则 Cloud SQL 会自动为您创建服务帐号,并提示您授予 managedidentities.sqlintegrator 角色。

如需使用 gcloud 创建服务帐号,请运行以下命令:

gcloud beta services identity create --service=sqladmin.googleapis.com \
             --project=[PROJECT]

该命令会返回以下格式的服务帐号名称:
service-[PROJECT_NUMBER]@gcp-sa-cloud-sql.iam.gserviceaccount.com

下面是一个服务帐号名称的示例:
service-333445@gcp-sa-cloud-sql.iam.gserviceaccount.com

为集成授予必要的权限需要现有权限。如需了解所需权限,请参阅所需权限

如需为集成授予必要的权限,请运行以下命令:

gcloud projects add-iam-policy-binding [PROJECT] \
--member=serviceAccount:service-[PROJECT_NUMBER]@gcp-sa-cloud-sql.iam.gserviceaccount.com \
--role=roles/managedidentities.sqlintegrator

另请参阅 gcloud beta services identity create

与代管式 Microsoft AD 集成的最佳做法

规划集成时,请查看以下内容:

SQL Server 实例和代管式 AD 实例位于同一区域可提供最低的网络延迟和最佳性能。因此,请尽量在同一区域中设置 SQL Server 实例和 AD 实例。此外,无论您是否在同一区域中设置这些实例,都可通过设置主要区域和备份区域来实现更高的可用性。

与代管式 Microsoft AD 集成的拓扑

Cloud SQL for SQL Server 不支持网域本地群组。但是您可以:

  • 直接在 SQL Server 中添加全局群组或个人用户登录信息
  • 当所有群组和用户都属于同一林时使用通用群组

如果支持网域本地群组,则可以将个人用户帐号和全局通用群组添加为网域本地群组的子级(可保护对 SQL Server 的访问);这样,您便可以将网域本地群组添加为 SQL Server 的登录信息。在 Cloud SQL for SQL Server 中,您可以启用类似功能,如本部分所述。

方法 1:将用户帐号和群组作为登录信息添加到 SQL Server

如果您在多个林中有多个网域,并且有多个全局群组,则可以直接将所有个人用户帐号和全局通用群组添加为 SQL Server 的登录信息。如需查看方法 1 的示例,请参阅下图:

AD 拓扑,方法 1。

方法 2:在您的某个网域中定义通用群组

如果您的网域位于同一林中,则您可以在其中一个网域中定义通用群组。然后,您可以将所有个人用户帐号和全局通用群组添加为该定义的通用群组的子级,并将该定义的通用群组添加为 SQL Server 的登录信息。如需查看方法 2 的示例,请参阅下图:

AD 拓扑,方法 2。

限制和替代方案

与代管式 Microsoft AD 集成时,存在以下限制:

  • 不支持网域本地群组,但您可以直接在 SQL Server 中添加全局群组或个人用户登录信息。或者,当所有群组和用户都属于同一林时,您可以使用通用群组。
  • 通常,系统会为通过 Google Cloud 控制台创建的新用户分配 CustomerDbRootRole 角色,该角色包含以下 SQL Server Agent 固定数据库角色SQLAgentUserRole。但是,通过 SQL Server 直接创建的用户(例如代管式 Microsoft AD 用户)无法获得此角色,也不能使用 SQL Server Agent,因为必须授予此角色的 MSDB 数据库已受到保护。
  • 某些受限操作可能会导致以下错误:“无法获取有关 Windows NT 群组/用户的信息”。这种受限操作的一个例子是由来自通过信任关系连接的网域中的用户创建登录信息。另一个例子是向通过信任关系连接的网域中的用户授予权限。在这些情况下,重试操作通常会成功。如果重试失败,请关闭连接并打开新连接。
  • Windows 上的 SQL Server 不支持完全限定域名 (FQDN)。因此,在创建 SQL Server 登录信息时,请使用域名简称,而不是 FQDN。例如,如果您的域名是 ad.mydomain.com,则请为 ad\user(而不是 ad.mydomain.com\user)创建 SQL Server 登录信息。
  • 如需访问 SQL Server 实例,请始终使用 FQDN。例如,您可以使用类似于 private.myinstance.us-central1.myproject.cloudsql.mydomain.com 的 FQDN。Netbios 名称不受支持,DNS 后缀被省略时也不支持任何简称。
  • 您无法通过 Google Cloud Console 管理基于 Active Directory 用户和群组的 SQL Server 登录信息。
  • 在 Cloud SQL 中,如果 SQL Server 实例是在 2021 年 3 月 12 日当天或之前创建的,则该实例无法与代管式 Microsoft AD 集成。
  • Windows 身份验证不支持外部信任。错误可能如下:“目标主体名称不正确。 无法生成 SSI 上下文”。此外,根据 Microsoft 建议,使用林信任(而不是外部信任)进行 Kerberos 身份验证。

集成不受支持

与代管式 Microsoft AD 集成时,以下功能目前不受支持:

  • 网域本地群组。
  • 通过信任关系连接的网域中的用户删除 SQL Server 登录。您可以通过代管式网域中的用户或通过 sqlserver 登录来执行此操作。
  • NTLM 身份验证。
  • 使用通过信任关系连接的网域中的 IP 地址登录。
  • 具有长名称(超过 63 个字符)的实例。

后续步骤