Implantar o Managed Microsoft AD com acesso entre projetos usando o peering de domínio
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Neste tópico, mostramos como configurar o peering de domínio entre o Serviço Gerenciado para Microsoft Active Directory (Managed Microsoft AD) e a VPC compartilhada. Isso permite que você disponibilize o Microsoft AD gerenciado para projetos de serviço anexados à VPC compartilhada.
Visão geral
O peering de domínios no Microsoft AD gerenciado cria um recurso de peering de domínio em cada projeto de recurso de domínio e de VPC. O domínio do Microsoft AD gerenciado pode ser disponibilizado para todos os projetos anexados à VPC compartilhada criando um peering de domínio entre o Microsoft AD gerenciado e a VPC compartilhada. Por exemplo, é possível fazer a autenticação e fazer login no SQL Server usando o domínio do Managed Microsoft AD, em que o SQL Server e o Managed Microsoft AD estão em diferentes projetos de serviço anexados à VPC compartilhada.
Antes de começar
Antes de começar, faça o seguinte:
No console do Google Cloud, na página do seletor de projetos, selecione ou crie Google Cloud três projetos. Eles são chamados de projetos host e de serviço. A VPC compartilhada é ativada no projeto host. O domínio do Microsoft AD gerenciado e as instâncias do Cloud SQL precisam estar em projetos de serviço diferentes. As VMs podem residir em um dos projetos de serviço.
Ative a VPC compartilhada no projeto host. Para mais informações, consulte Ativar um projeto de host.
Anexe os projetos de serviço à rede VPC compartilhada. Cada um dos projetos precisa ter a API Compute Engine ativada. Para este exemplo, recomendamos criar sub-redes separadas na VPC compartilhada. Ao anexar o projeto, escolha a sub-rede apropriada para cada um deles. Para mais informações, consulte Anexar projetos de serviço.
Crie um domínio do Managed Microsoft AD no projeto de serviço. A rede VPC autorizada durante a criação do domínio do Managed Microsoft AD é independente das redes VPC compartilhadas. Para criar um domínio do Microsoft AD gerenciado sem uma rede autorizada, use o comando gcloud CLI.
Configurar o peering de domínio
Crie o peering de domínio do projeto de serviço com o recurso de domínio para a rede VPC compartilhada. Para mais informações sobre o peering de domínio, consulte Configurar o peering de domínio.
PEERING-RESOURCE-NAME: um nome para o recurso de peering de domínio (como my-domain-peering).
DOMAIN-RESOURCE-NAME: o nome completo do recurso do
domínio do Microsoft AD gerenciado, no formato:
projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
SHARED-VPC-NAME: o nome completo do recurso da sua
rede VPC compartilhada no formato:
projects/PROJECT-ID/global/networks/NETWORK-NAME.
Liste os peerings de domínio para verificar o estado. Execute o seguinte comando da CLI gcloud:
gcloud active-directory peerings list --project=PROJECT_ID
Substitua PROJECT_ID pelo ID do projeto de serviço usado para criar o recurso de peering de domínio.
Ele retorna o estado como DISCONNECTED.
Crie o peering de domínio reverso no projeto host.
PEERING-RESOURCE-NAME: um nome para o recurso de peering de domínio (como my-domain-peering).
DOMAIN-RESOURCE-NAME: o nome completo do recurso do seu
domínio do Microsoft AD gerenciado, no formato:
projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
SHARED-VPC-NAME: o nome completo do recurso da sua
rede VPC compartilhada no formato:
projects/PROJECT-ID/global/networks/NETWORK-NAME.
VPC-RESOURCE-PROJECT-ID: o ID do projeto host que hospeda a VPC compartilhada.
Liste os peerings de domínio novamente para verificar o estado. Execute o seguinte comando da CLI gcloud:
gcloud active-directory peerings list --project=PROJECT_ID
Substitua PROJECT_ID pelo ID do projeto de serviço usado para criar o recurso de peering de domínio.
Ele retorna o estado como CONNECTED dos projetos de host e de serviço.
Configurar a instância do Cloud SQL (SQL Server)
Crie a instância do Cloud SQL (SQL Server) no projeto de serviço com o IP particular ativado e selecione a rede da VPC compartilhada. Para mais informações, consulte Criar uma instância com a Autenticação do Windows.
Depois que o peering de domínio for concluído, modifique a configuração do Cloud SQL (SQL Server) para usar seu domínio do Microsoft AD gerenciado para autenticação. Execute o seguinte comando da CLI gcloud:
INSTANCE-NAME: o nome da instância do Cloud SQL no projeto de serviço.
DOMAIN-RESOURCE-NAME: o nome completo do recurso do seu domínio do Microsoft AD gerenciado que você quer usar para autenticação. Formato do nome completo do recurso:
projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
O SQL Server agora está configurado com a autenticação do Windows ativada.
Testar a configuração
Crie uma VM do Windows ou Linux no projeto de serviço. Ao criar a VM, selecione a VPC compartilhada e a sub-rede compartilhada na VPC compartilhada com este projeto de serviço.
Você criou um par de domínios do Managed Microsoft AD com o host da VPC compartilhada e criou o SQL Server na VPC compartilhada. Com esse peering de domínio, a autenticação do Windows entre projetos é ativada para o SQL Server.
No cenário acima, o Microsoft AD gerenciado e o SQL Server estão em projetos de serviço diferentes, mas também é possível configurá-los no mesmo projeto de serviço.
Como alternativa, você também pode ter o domínio do Microsoft AD gerenciado no projeto de host. Nesse caso, a VPC compartilhada precisa ser adicionada como uma rede autorizada ao domínio do Managed Microsoft AD. Para mais informações, consulte Como adicionar redes autorizadas a um domínio atual.
Em todos esses cenários, o peering com a VPC compartilhada disponibiliza o domínio para os projetos de serviço anexados à VPC compartilhada.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-04 UTC."],[],[],null,["# Deploy Managed Microsoft AD with cross-project access using domain peering\n\nThis topic shows you how to configure domain peering between Managed Service for Microsoft Active Directory (Managed Microsoft AD) and Shared VPC. This allows you to make Managed Microsoft AD available to service projects attached to Shared VPC.\n\nOverview\n--------\n\n[Domain peering](/managed-microsoft-ad/docs/domain-peering) in Managed Microsoft AD creates a domain peering resource in each domain resource and VPC resource projects. Managed Microsoft AD domain can be made available to all the projects attached to the Shared VPC by creating a domain peering between Managed Microsoft AD and Shared VPC. For example, you can authenticate and login to SQL Server using Managed Microsoft AD domain, where SQL Server and Managed Microsoft AD are in different service projects that are attached to the Shared VPC.\n\nBefore you begin\n----------------\n\nBefore you begin, do the following:\n\n1. In the Google Cloud console, on the project selector page, select or create three Google Cloud projects. They are called host and service projects. The host project is where the Shared VPC is enabled. Managed Microsoft AD domain and Cloud SQL instances must reside in different service projects. The VMs could reside in one of the service projects.\n\n [Go to project selector](https://console.cloud.google.com/projectselector2/home/dashboard)\n2. Enable billing for your Cloud project(s). For more information, see [Check if billing is enabled on a project](/billing/docs/how-to/modify-project#confirm_billing_is_enabled_on_a_project).\n\n3. Enable Shared VPC on the host project. For more information, see [Enable a host project](/vpc/docs/provisioning-shared-vpc#enable-shared-vpc-host).\n\n4. Attach the service project(s) to the Shared VPC network. Each of the projects need to have Compute Engine API enabled. For the purpose of this example, we recommend creating separate subnets in the Shared VPC. While attaching the project, choose the appropriate subnet for each of the project(s). For more information, see [Attach service projects](/vpc/docs/provisioning-shared-vpc#create-shared).\n\n5. [Create a Managed Microsoft AD domain](/managed-microsoft-ad/docs/create-domain) in the service project. The VPC network authorized while creating the Managed Microsoft AD domain is independent of the Shared VPC networks. To create a Managed Microsoft AD domain without an authorized network, use the gcloud CLI command.\n\nConfigure domain peering\n------------------------\n\n1. Create domain peering from the service project having the domain resource to the Shared VPC network. For more information about domain peering, see [Configure domain peering](/managed-microsoft-ad/docs/quickstart-domain-peering#configure_domain_peering).\n\n ```\n gcloud active-directory peerings create PEERING-RESOURCE-NAME \\\n --domain=DOMAIN-RESOURCE-NAME \\\n --authorized-network=SHARED-VPC-NAME\n ```\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003ePEERING-RESOURCE-NAME\u003c/var\u003e: A name for your domain peering resource (such as `my-domain-peering`).\n - \u003cvar translate=\"no\"\u003eDOMAIN-RESOURCE-NAME\u003c/var\u003e: The [full resource name](/iam/docs/full-resource-names) of your Managed Microsoft AD domain, in the form of: `projects/`\u003cvar translate=\"no\"\u003ePROJECT-ID\u003c/var\u003e`/locations/global/domains/`\u003cvar translate=\"no\"\u003eDOMAIN-NAME\u003c/var\u003e.\n - \u003cvar translate=\"no\"\u003eSHARED-VPC-NAME\u003c/var\u003e: The [full resource name](/iam/docs/full-resource-names) of your Shared VPC network, in the form of: `projects/`\u003cvar translate=\"no\"\u003ePROJECT-ID\u003c/var\u003e`/global/networks/`\u003cvar translate=\"no\"\u003eNETWORK-NAME\u003c/var\u003e.\n2. List the domain peerings to verify the state. Run the following gcloud CLI command:\n\n ```\n gcloud active-directory peerings list --project=PROJECT_ID\n ```\n\n Replace \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e with the project ID of the service project that is used to create your domain peering resource.\n\n It returns the state as `DISCONNECTED`.\n3. Create the reverse domain peering from the host project.\n\n ```\n gcloud active-directory peerings create PEERING-RESOURCE-NAME \\\n --domain=DOMAIN-RESOURCE-NAME \\\n --authorized-network=SHARED-VPC-NAME \\\n --project=VPC-RESOURCE-PROJECT-ID\n ```\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003ePEERING-RESOURCE-NAME\u003c/var\u003e: A name for your domain peering resource (such as `my-domain-peering`).\n - \u003cvar translate=\"no\"\u003eDOMAIN-RESOURCE-NAME\u003c/var\u003e: The [full resource name](/iam/docs/full-resource-names) of your Managed Microsoft AD domain, in the form of: `projects/`\u003cvar translate=\"no\"\u003ePROJECT-ID\u003c/var\u003e`/locations/global/domains/`\u003cvar translate=\"no\"\u003eDOMAIN-NAME\u003c/var\u003e.\n - \u003cvar translate=\"no\"\u003eSHARED-VPC-NAME\u003c/var\u003e: The [full resource name](/iam/docs/full-resource-names) of your Shared VPC network, in the form of: `projects/`\u003cvar translate=\"no\"\u003ePROJECT-ID\u003c/var\u003e`/global/networks/`\u003cvar translate=\"no\"\u003eNETWORK-NAME\u003c/var\u003e.\n - \u003cvar translate=\"no\"\u003eVPC-RESOURCE-PROJECT-ID\u003c/var\u003e: The project ID of the host project that is hosting the Shared VPC.\n4. List the domain peerings again to verify the state. Run the following gcloud CLI command:\n\n ```\n gcloud active-directory peerings list --project=PROJECT_ID\n ```\n\n Replace \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e with the project ID of the service project that is used to create your domain peering resource.\n\n It returns the state as `CONNECTED` from both the host and service projects.\n\nConfigure the Cloud SQL (SQL Server) instance\n---------------------------------------------\n\n1. Create the Cloud SQL (SQL Server) instance in the service project with Private IP enabled and select the network of the Shared VPC. For more information, see [Create an instance with Windows Authentication](/sql/docs/sqlserver/configure-ad#creating-an-instance-with-windows-authentication).\n\n2. After the domain peering is complete, modify the Cloud SQL (SQL Server) configuration to use your Managed Microsoft AD domain for authentication. Run the following gcloud CLI command:\n\n ```\n gcloud beta sql instances patch INSTANCE-NAME \\\n --active-directory-domain=DOMAIN-RESOURCE-NAME\n ```\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003eINSTANCE-NAME\u003c/var\u003e: The name of your Cloud SQL instance in the service project.\n - \u003cvar translate=\"no\"\u003eDOMAIN-RESOURCE-NAME\u003c/var\u003e: The [full resource name](/iam/docs/full-resource-names) of your Managed Microsoft AD domain that you want to use for authentication. Full resource name format: `projects/`\u003cvar translate=\"no\"\u003ePROJECT-ID\u003c/var\u003e`/locations/global/domains/`\u003cvar translate=\"no\"\u003eDOMAIN-NAME\u003c/var\u003e.\n\n For more information, see [Enable cross-project Windows authentication](/sql/docs/sqlserver/configure-ad#enable-cross-project-auth).\n\nThe SQL Server is now configured with Windows authentication enabled.\n\nTest the setup\n--------------\n\n1. Create a Windows or Linux VM in the service project. While creating the VM, select the Shared VPC and the subnet which is shared in the Shared VPC with this service project.\n2. Join the VM to a domain. For more information about joining a Windows VM to a domain, see [Join a Windows VM to a domain](/managed-microsoft-ad/docs/quickstart-domain-join-windows).\n3. Create a SQL Server login based on a Windows user or group. For more information, see [Connect to an instance with a user](/sql/docs/sqlserver/configure-ad#connecting-to-an-instance-with-a-user).\n4. Connect using the SQL Server's instance DNS name. For more information, see Step 2 in [Connect to an instance with a user](/sql/docs/sqlserver/configure-ad#connecting-to-an-instance-with-a-user).\n\nSummary\n-------\n\nYou have domain peered a Managed Microsoft AD domain with the Shared VPC host and created SQL Server on the Shared VPC. With this domain peering, cross-project Windows authentication is enabled for SQL Server.\n\nWhile in the above scenario Managed Microsoft AD and SQL Server are in different service projects, configuring them in the same service project is also supported.\n\nAlternatively, you can also have the Managed Microsoft AD domain in the host project. In this case, Shared VPC needs to be added as an authorized network to the Managed Microsoft AD domain. For more information, see [Adding authorized networks to an existing domain](/managed-microsoft-ad/docs/managing-authorized-networks#adding_authorized_networks_to_an_existing_domain).\n\nIn all these scenarios through peering with Shared VPC, the domain is available to the service project(s) attached to the Shared VPC."]]
