连接到 Managed Service for Microsoft Active Directory

本页面介绍了如何连接到 Managed Service for Microsoft Active Directory。

NetApp Volumes 支持代管式 Microsoft AD。

与 NetApp Volumes 类似，托管式 Microsoft AD 使用专用服务访问通道连接到客户项目。专用服务访问通道使用虚拟私有云 (VPC) 对等互连，这会阻止 VPC 之间的传递流量。NetApp Volumes 无法通过使用方 VPC 与托管式 Microsoft AD 通信，因此您需要使用网域对等互连来建立此连接。

准备工作

请确保您已满足代管式 Microsoft AD - 准备工作中提及的前提条件。

建立网域对等互连

请按照以下说明建立网域对等互联：

1. 确定拥有 NetApp Volumes 资源的 NetApp Volumes 租户项目的项目名称：

   gcloud compute networks peerings list --project=project_owning_NetAppVolumes --flatten=peerings --filter="peerings.name=sn-netapp-prod"
   

   PEER_PROJECT 参数显示 NetApp Volumes 租户项目的名称。PEER_NETWORK 参数显示租户项目 VPC 名称，应为 netapp-prod-network。

2. 按照配置网域对等互连中的说明，使用您在上一步中确定的租户项目 ID 和网络，创建从托管式 Microsoft AD 到 NetApp Volumes 的网域对等互连。

   请注意，您只能从网域资源项目建立到 NetApp Volumes 租户项目的对等互连。从 VPC 资源项目（NetApp Volumes 租户项目）到网域资源项目的反向对等互连需要向 Google Cloud Customer Care 提交支持请求。

3. 向 Google Cloud Customer Care 提交支持请求，以建立从 NetApp Volumes 到受管 Microsoft AD 的反向对等互连。 将以下命令的输出提供给 Google Cloud Customer Care，以确定要接受哪个对等互联。

   gcloud active-directory peerings list --project=project_owning_ManagedAD
   

4. 在 Google Cloud Customer Care 建立双向对等互连后，您的对等互连状态会显示为 CONNECTED。验证对等互连状态：

   gcloud active-directory peerings list --project=project_owning_ManagedAD
   

5. 在您计划使用托管式 Microsoft AD 创建卷的同一区域中创建 Active Directory 政策。您需要指定以下参数：

   • DNS 服务器 IP 地址：

     • 对于 Flex 服务等级，请在政策中使用 169.254.169.254 作为 DNS 服务器 IP 地址。

     • 对于标准、高级和极速服务级别，请按照使用 IP 地址进行 DNS 解析中的说明操作。 您将在 Active Directory 政策中使用 Cloud DNS 创建的入口点 IP 地址。

   • 组织单位 (OU)：托管式 Microsoft AD 默认情况下会将所有对象放入 OU=cloud 中。您需要为您的环境指定正确的组织部门参数。 例如，如果您有一个名为 engineering.example.com 的 Windows 网域，则要指定的默认组织部门为 CN=Computers,OU=Cloud,DC=engineering,DC=example,DC=com。

6. 将 Active Directory 政策附加到要使用的存储池。

   对于 Flex 服务等级，请通过创建使用 Active Directory 的卷来测试 Active Directory 政策连接。

   对于“标准”“高级”和“极速”服务等级，请先测试 Active Directory 政策连接，然后再创建卷。

后续步骤

管理客户管理的加密密钥政策。