In diesem Thema erfahren Sie, wie Sie das Domain-Peering zwischen Managed Service for Microsoft Active Directory (Managed Microsoft AD) und der freigegebene VPC konfigurieren. So können Sie Managed Microsoft AD für Dienstprojekte verfügbar machen, die an eine freigegebene VPC angehängt sind.
Übersicht
Beim Domain-Peering in Managed Microsoft AD wird in jeder Domainressource und in jedem VPC-Ressourcenprojekt eine Domain-Peering-Ressource erstellt. Die Managed Microsoft AD-Domain kann für alle an die freigegebene VPC angehängten Projekte verfügbar gemacht werden, indem ein Domain-Peering zwischen Managed Microsoft AD und der freigegebenen VPC erstellt wird. Sie können sich beispielsweise mit einer Managed Microsoft AD-Domain authentifizieren und bei SQL Server anmelden, wobei sich SQL Server und Managed Microsoft AD in verschiedenen Dienstprojekten befinden, die an die freigegebene VPC angehängt sind.
Hinweise
Führen Sie zuerst folgende Schritte aus:
Wählen Sie in der Google Cloud Console auf der Seite zur Projektauswahl drei Google Cloud-Projekte aus oder erstellen Sie diese. Sie werden als Host- und Dienstprojekte bezeichnet. Im Hostprojekt ist die freigegebene VPC aktiviert. Die Managed Microsoft AD-Domain und die Cloud SQL-Instanzen müssen sich in verschiedenen Dienstprojekten befinden. Die VMs können sich in einem der Dienstprojekte befinden.
Aktivieren Sie die Abrechnung für Ihre Cloud-Projekte. Weitere Informationen finden Sie unter Prüfen, ob die Abrechnung für ein Projekt aktiviert ist.
Aktivieren Sie die freigegebene VPC im Hostprojekt. Weitere Informationen finden Sie unter Hostprojekt aktivieren.
Hängen Sie die Dienstprojekte an das freigegebene VPC-Netzwerk an. Für jedes Projekt muss die Compute Engine API aktiviert sein. Für dieses Beispiel empfehlen wir, separate Subnetze im freigegebene VPC zu erstellen. Wählen Sie beim Anhängen des Projekts das entsprechende Subnetz für jedes Projekt aus. Weitere Informationen finden Sie unter Dienstprojekte anhängen.
Erstellen Sie eine Managed Microsoft AD-Domain im Dienstprojekt. Das VPC-Netzwerk, das beim Erstellen der Managed Microsoft AD-Domain autorisiert wurde, ist unabhängig von den freigegebene VPC-Netzwerken. Verwenden Sie den Befehl der gcloud CLI, um eine verwaltete Microsoft AD-Domain ohne autorisiertes Netzwerk zu erstellen.
Domain-Peering konfigurieren
Erstellen Sie ein Domain-Peering vom Dienstprojekt mit der Domainressource zum freigegebene VPC-Netzwerk. Weitere Informationen zum Domain-Peering finden Sie unter Domain-Peering konfigurieren.
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME
Ersetzen Sie Folgendes:
PEERING-RESOURCE-NAME: Ein Name für Ihre Domain-Peering-Ressource (z. B.my-domain-peering).DOMAIN-RESOURCE-NAME: Der vollständige Ressourcenname Ihrer verwalteten Microsoft AD-Domain in Form vonprojects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.SHARED-VPC-NAME: Der vollständige Ressourcenname Ihres freigegebene VPC-Netzwerks in der Form:projects/PROJECT-ID/global/networks/NETWORK-NAME.
Listen Sie die Domain-Peerings auf, um den Status zu prüfen. Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud active-directory peerings list --project=PROJECT_ID
Ersetzen Sie PROJECT_ID durch die Projekt-ID des Dienstprojekts, mit dem die Domain-Peering-Ressource erstellt wird.
Der Status wird als
DISCONNECTEDzurückgegeben.Erstellen Sie das Reverse-Domain-Peering aus dem Hostprojekt.
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME \ --project=VPC-RESOURCE-PROJECT-ID
Ersetzen Sie Folgendes:
PEERING-RESOURCE-NAME: Ein Name für Ihre Domain-Peering-Ressource (z. B.my-domain-peering).DOMAIN-RESOURCE-NAME: Der vollständige Ressourcenname Ihrer verwalteten Microsoft AD-Domain in Form vonprojects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.SHARED-VPC-NAME: Der vollständige Ressourcenname Ihres freigegebene VPC-Netzwerks in der Form:projects/PROJECT-ID/global/networks/NETWORK-NAME.VPC-RESOURCE-PROJECT-ID: Die Projekt-ID des Hostprojekts, in dem die freigegebene VPC gehostet wird.
Listen Sie die Domain-Peerings noch einmal auf, um den Status zu prüfen. Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud active-directory peerings list --project=PROJECT_ID
Ersetzen Sie PROJECT_ID durch die Projekt-ID des Dienstprojekts, mit dem die Domain-Peering-Ressource erstellt wird.
Der Status wird sowohl vom Host- als auch vom Dienstprojekt als
CONNECTEDzurückgegeben.
Cloud SQL (SQL Server)-Instanz konfigurieren
Erstellen Sie die Cloud SQL-Instanz (SQL Server) im Dienstprojekt mit aktivierter privater IP-Adresse und wählen Sie das Netzwerk des freigegebene VPC aus. Weitere Informationen finden Sie unter Instanz mit Windows-Authentifizierung erstellen.
Nachdem das Domain-Peering abgeschlossen ist, ändern Sie die Cloud SQL-Konfiguration (SQL Server), damit Ihre Managed Microsoft AD-Domain für die Authentifizierung verwendet wird. Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud beta sql instances patch INSTANCE-NAME \ --active-directory-domain=DOMAIN-RESOURCE-NAME
Ersetzen Sie Folgendes:
INSTANCE-NAME: Der Name Ihrer Cloud SQL-Instanz im Dienstprojekt.DOMAIN-RESOURCE-NAME: Der vollständige Ressourcenname Ihrer Managed Microsoft AD-Domain, die Sie für die Authentifizierung verwenden möchten. Format des vollständigen Ressourcennamens:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
Weitere Informationen finden Sie unter Projektübergreifende Windows-Authentifizierung aktivieren.
Der SQL Server ist jetzt mit aktivierter Windows-Authentifizierung konfiguriert.
Einrichtung testen
- Erstellen Sie im Dienstprojekt eine Windows- oder Linux-VM. Wählen Sie beim Erstellen der VM die freigegebene VPC und das Subnetz aus, das in der freigegebenen VPC für dieses Dienstprojekt freigegeben ist.
- Verbinden Sie die VM mit einer Domain. Weitere Informationen zum Verbinden einer Windows-VM mit einer Domain finden Sie unter Windows-VM mit einer Domain verbinden.
- Erstellen Sie ein SQL Server-Login auf Basis eines Windows-Nutzers oder einer Windows-Gruppe. Weitere Informationen finden Sie unter Mit einem Nutzer eine Verbindung zu einer Instanz herstellen.
- Stellen Sie eine Verbindung über den DNS-Namen der SQL Server-Instanz her. Weitere Informationen finden Sie unter Schritt 2 im Hilfeartikel Mit einem Nutzer eine Verbindung zu einer Instanz herstellen.
Fazit
Sie haben eine Managed Microsoft AD-Domain per Domain-Peering mit dem Host der freigegebene VPC verbunden und SQL Server in der freigegebene VPC erstellt. Durch dieses Domain-Peering wird die projektübergreifende Windows-Authentifizierung für SQL Server aktiviert.
Im obigen Szenario befinden sich Managed Microsoft AD und SQL Server in verschiedenen Dienstprojekten. Es wird aber auch unterstützt, sie im selben Dienstprojekt zu konfigurieren.
Alternativ können Sie die Managed Microsoft AD-Domain auch im Hostprojekt platzieren. In diesem Fall muss das freigegebene VPC der verwalteten Microsoft AD-Domain als autorisiertes Netzwerk hinzugefügt werden. Weitere Informationen finden Sie unter Autorisierte Netzwerke zu einer bestehenden Domain hinzufügen.
In all diesen Szenarien ist die Domain über das Peering mit der freigegebenen VPC für die an die freigegebene VPC angehängten Dienstprojekte verfügbar.