本主题介绍如何在 Managed Service for Microsoft Active Directory (托管式 Microsoft AD) 和共享 VPC 之间配置网域对等互连。这样,您就可以将代管式 Microsoft AD 提供给关联到共享 VPC 的服务项目。
概览
代管式 Microsoft AD 中的网域对等互连功能会在每个网域资源项目和 VPC 资源项目中创建网域对等互连资源。通过在托管式 Microsoft AD 和共享 VPC 之间创建网域对等互连,您可以将托管式 Microsoft AD 网域提供给连接到共享 VPC 的所有项目。例如,您可以使用托管式 Microsoft AD 网域进行身份验证并登录 SQL Server,其中 SQL Server 和托管式 Microsoft AD 位于连接到共享 VPC 的不同服务项目中。
准备工作
在开始之前,请执行以下操作:
在 Google Cloud 控制台的项目选择器页面上,选择或创建三个 Google Cloud 项目。它们分别称为宿主项目和服务项目。宿主项目是启用共享 VPC 的位置。代管式 Microsoft AD 网域和 Cloud SQL 实例必须位于不同的服务项目中。虚拟机可以位于其中一个服务项目中。
为您的 Cloud 项目启用结算功能。如需了解详情,请参阅检查项目是否已启用结算功能。
在宿主项目中启用共享 VPC。如需了解详情,请参阅启用托管项目。
将服务项目关联到共享 VPC 网络。每个项目都需要启用 Compute Engine API。在本示例中,我们建议您在共享 VPC 中创建单独的子网。附加项目时,请为每个项目选择适当的子网。如需了解详情,请参阅关联服务项目。
在服务项目中创建托管式 Microsoft AD 网域。在创建托管式 Microsoft AD 网域时授权的 VPC 网络与共享 VPC 网络无关。如需创建不使用已获授权的网络的托管 Microsoft AD 网域,请使用 gcloud CLI 命令。
配置网域对等互连
从包含网域资源的服务项目创建网域对等互连到共享 VPC 网络。如需详细了解网域对等互连,请参阅配置网域对等互连。
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME
替换以下内容:
列出网域对等互连以验证状态。运行以下 gcloud CLI 命令:
gcloud active-directory peerings list --project=PROJECT_ID
将 PROJECT_ID 替换为用于创建网域对等连接资源的服务项目的项目 ID。
它会返回
DISCONNECTED
状态。从宿主项目创建反向网域对等连接。
gcloud active-directory peerings create PEERING-RESOURCE-NAME \ --domain=DOMAIN-RESOURCE-NAME \ --authorized-network=SHARED-VPC-NAME \ --project=VPC-RESOURCE-PROJECT-ID
替换以下内容:
再次列出网域对等连接,以验证状态。运行以下 gcloud CLI 命令:
gcloud active-directory peerings list --project=PROJECT_ID
将 PROJECT_ID 替换为用于创建网域对等连接资源的服务项目的项目 ID。
它会从宿主项目和服务项目返回状态
CONNECTED
。
配置 Cloud SQL (SQL Server) 实例
在启用了专用 IP 的服务项目中创建 Cloud SQL(SQL Server)实例,然后选择共享 VPC 的网络。如需了解详情,请参阅使用 Windows 身份验证创建实例。
网域对等连接完成后,请修改 Cloud SQL (SQL Server) 配置,以使用托管式 Microsoft AD 网域进行身份验证。运行以下 gcloud CLI 命令:
gcloud beta sql instances patch INSTANCE-NAME \ --active-directory-domain=DOMAIN-RESOURCE-NAME
替换以下内容:
INSTANCE-NAME
:服务项目中的 Cloud SQL 实例的名称。DOMAIN-RESOURCE-NAME
:您要用于身份验证的代管式 Microsoft AD 网域的完整资源名称。资源全名格式:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME
。
如需了解详情,请参阅启用跨项目 Windows 身份验证。
现在,SQL Server 已配置为启用 Windows 身份验证。
测试设置
- 在服务项目中创建 Windows 或 Linux 虚拟机。创建虚拟机时,选择共享 VPC 以及与此服务项目共享的共享 VPC 中的子网。
- 将虚拟机加入网域。如需详细了解如何将 Windows 虚拟机加入网域,请参阅将 Windows 虚拟机加入网域。
- 基于 Windows 用户或群组创建 SQL Server 登录。如需了解详情,请参阅使用用户连接到实例。
- 使用 SQL Server 的实例 DNS 名称进行连接。如需了解详情,请参阅使用用户连接到实例中的第 2 步。
摘要
您已将托管式 Microsoft AD 网域与共享 VPC 主机对等互连,并在共享 VPC 上创建了 SQL Server。通过此网域对等,系统会为 SQL Server 启用跨项目 Windows 身份验证。
虽然在上述场景中,代管式 Microsoft AD 和 SQL Server 位于不同的服务项目中,但也支持在同一服务项目中对它们进行配置。
或者,您也可以在宿主项目中创建 Managed Microsoft AD 网域。在这种情况下,需要将共享 VPC 添加为托管式 Microsoft AD 网域的已获授权网络。如需了解详情,请参阅将已获授权的网络添加到现有网域。
在所有这些场景中,通过与共享 VPC 建立对等连接,该网域可供连接到共享 VPC 的服务项目使用。