使用網域對等互連功能,部署可跨專案存取的代管 Microsoft AD

本主題說明如何在 Managed Service for Microsoft Active Directory (Managed Microsoft AD) 和共用虛擬私有雲 (VPC) 之間設定網域對等連線。這樣一來,您就能讓受控 Microsoft AD 可供已連結至共用虛擬私有雲的服務專案使用。

總覽

Managed Microsoft AD 中的網域對等互連會在每個網域資源和 VPC 資源專案中建立網域對等互連資源。您可以建立 Managed Microsoft AD 和共用虛擬私有雲之間的網域對等互連,讓 Managed Microsoft AD 網域可供共用虛擬私有雲中所有附加的專案使用。舉例來說,您可以使用 Managed Microsoft AD 網域進行驗證,並登入 SQL Server,其中 SQL Server 和 Managed Microsoft AD 位於不同的服務專案中,且已連結至共用虛擬私有雲。

事前準備

開始之前,請先執行下列操作:

  1. 在 Google Cloud 控制台的專案選取器頁面中,選取或建立三個 Google Cloud 專案。這些是主專案和服務專案。主專案是共用虛擬私有雲的啟用位置。代管的 Microsoft AD 網域和 Cloud SQL 執行個體必須位於不同的服務專案。虛擬機器可位於其中一個服務專案中。

    前往專案選取器

  2. 為 Cloud 專案啟用計費功能。詳情請參閱「檢查專案是否已啟用結帳功能」。

  3. 在主專案中啟用共用虛擬私有雲。詳情請參閱「啟用主機專案」。

  4. 將服務專案附加至共用虛擬私有雲網路。每個專案都必須啟用 Compute Engine API。為了方便說明,建議您在共用虛擬私人雲端網路中建立個別子網路。連結專案時,請為每個專案選擇適當的子網路。詳情請參閱「連結服務專案」。

  5. 在服務專案中建立 Managed Microsoft AD 網域。在建立 Managed Microsoft AD 網域時授權的 VPC 網路與共用虛擬私有雲網路無關。如要建立未經授權的網路的 Managed Microsoft AD 網域,請使用 gcloud CLI 指令。

設定網域對等互連

  1. 從擁有網域資源的服務專案,建立共用虛擬私有雲網路的網域對接。如要進一步瞭解網域對等連線,請參閱「設定網域對等連線」。

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
--domain=DOMAIN-RESOURCE-NAME \
--authorized-network=SHARED-VPC-NAME

    更改下列內容:

    • PEERING-RESOURCE-NAME:網域對等資源的名稱 (例如 my-domain-peering)。
    • DOMAIN-RESOURCE-NAME:受管理 Microsoft AD 網域的完整資源名稱,格式為:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME
    • SHARED-VPC-NAME:共用虛擬私有雲網路的完整資源名稱,格式為:projects/PROJECT-ID/global/networks/NETWORK-NAME

  2. 列出網域對等連線,以驗證狀態。執行下列 gcloud CLI 指令:

    gcloud active-directory peerings list --project=PROJECT_ID

    PROJECT_ID 替換為用於建立網域對等資源的服務專案專案 ID。

    並以 DISCONNECTED 的形式傳回狀態。

  3. 從主機專案建立反向網域對等連線。

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
--domain=DOMAIN-RESOURCE-NAME \
--authorized-network=SHARED-VPC-NAME \
--project=VPC-RESOURCE-PROJECT-ID

    更改下列內容:

    • PEERING-RESOURCE-NAME:網域對等資源的名稱 (例如 my-domain-peering)。
    • DOMAIN-RESOURCE-NAME:受管理 Microsoft AD 網域的完整資源名稱,格式為:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME
    • SHARED-VPC-NAME:共用虛擬私有雲網路的完整資源名稱,格式為:projects/PROJECT-ID/global/networks/NETWORK-NAME
    • VPC-RESOURCE-PROJECT-ID:主機專案的 ID,用於代管共用虛擬私有雲。

  4. 再次列出網域對等連線,以便驗證狀態。執行下列 gcloud CLI 指令:

    gcloud active-directory peerings list --project=PROJECT_ID

    PROJECT_ID 替換為用於建立網域對等資源的服務專案專案 ID。

    它會從主專案和服務專案傳回狀態為 CONNECTED

設定 Cloud SQL (SQL Server) 執行個體

  1. 在已啟用私人 IP 的服務專案中建立 Cloud SQL (SQL Server) 執行個體,然後選取共用虛擬私有雲網路。詳情請參閱「使用 Windows 驗證建立執行個體」。

  2. 網域配對完成後,請修改 Cloud SQL (SQL Server) 設定,以便使用 Managed Microsoft AD 網域進行驗證。執行下列 gcloud CLI 指令:

    gcloud beta sql instances patch INSTANCE-NAME \
--active-directory-domain=DOMAIN-RESOURCE-NAME

    更改下列內容:

    • INSTANCE-NAME:服務專案中的 Cloud SQL 執行個體名稱。
    • DOMAIN-RESOURCE-NAME:您要用於驗證的 Managed Microsoft AD 網域的完整資源名稱。完整資源名稱格式:projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME

    詳情請參閱「啟用跨專案 Windows 驗證功能」。

SQL Server 現已設定為啟用 Windows 驗證。

測試設定

  1. 在服務專案中建立 Windows 或 Linux VM。建立 VM 時,請選取共用虛擬私有雲和子網路,並在共用虛擬私有雲中與此服務專案共用。
  2. 將 VM 加入網域。如要進一步瞭解如何將 Windows VM 加入網域,請參閱「將 Windows VM 加入網域」。
  3. 根據 Windows 使用者或群組建立 SQL Server 登入。詳情請參閱「透過使用者連線至執行個體」。
  4. 使用 SQL Server 的執行個體 DNS 名稱進行連線。詳情請參閱「連線至含有使用者的執行個體」一文中的步驟 2。

摘要

您已將受管理的 Microsoft AD 網域與共用 VPC 主機配對,並在共用 VPC 上建立 SQL Server。透過這個網域對等連線,SQL Server 會啟用跨專案 Windows 驗證。

雖然在上述情境中,受控 Microsoft AD 和 SQL Server 位於不同的服務專案中,但系統也支援在同一個服務專案中設定這些服務。

或者,您也可以在主專案中使用 Managed Microsoft AD 網域。在這種情況下,您需要將共用虛擬私有雲加入 Managed Microsoft AD 網域,做為授權網路。詳情請參閱「將授權網路新增至現有網域」。

在所有這些透過與共用虛擬私有雲對等互連的情況下,共用虛擬私有雲附加的服務專案可使用該網域。