הגדרת שיתוף פעולה בין דומיינים
בדף הזה מוסבר איך להגדיר domain peering באמצעות שירות מנוהל ל-Microsoft Active Directory (שירות מנוהל ל-Microsoft AD).
לפני שמתחילים
- נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Managed Microsoft AD, Cloud DNS, and Compute Engine APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Managed Microsoft AD, Cloud DNS, and Compute Engine APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.- יוצרים דומיין מנוהל של Microsoft AD בפרויקט של משאב הדומיין.
- יוצרים רשת VPC בפרויקט משאבי ה-VPC שאליו רוצים לבצע פירינג של הדומיין.
- מוודאים שאין חפיפה בין טווחי כתובות ה-IP שהוקצו לשירות מנוהל ל-Microsoft AD לבין רשתות מורשות אחרות.
- מוודאים שיש לכם אחד מהתפקידים הבאים ב-IAM:
- Google Cloud אדמין של זהויות מנוהלות (
roles/managedidentities.admin) - Google Cloud אדמין של קישור בין זהויות מנוהלות (
roles/managedidentities.peeringAdmin)
- Google Cloud אדמין של זהויות מנוהלות (
- אופציונלי: בודקים אם יש לכם גם את תפקידי ה-IAM הבאים:
- Google Cloud צפייה בזהויות מנוהלות (
roles/managedidentities.viewer) - משתמש ברשת Compute (
roles/compute.networkUser) - צפייה ברשת Compute (
roles/compute.networkViewer)
- Google Cloud צפייה בזהויות מנוהלות (
הגדרת שיתוף פעולה בין דומיינים
אחרי שמוודאים שכל התנאים המוקדמים מתקיימים ואוספים את פרטי הדומיין, אפשר ליצור את הפירינג בין הדומיינים.
המסוף
כדי ליצור קישור בין רשתות (Peering) מפרויקט משאבי הדומיין, פועלים לפי השלבים הבאים:
- נכנסים לדף שירות מנוהל ל-Microsoft AD במסוף Google Cloud .
מעבר אל שירות מנוהל ל-Microsoft AD - לוחצים על הכרטיסייה Peerings (חיבורי עמיתים).
- בדף Peerings, לוחצים על Create peering.
- בשדה Name, מזינים שם למשאב ה-Peering.
- בוחרים באפשרות דומיין.
- ברשימה Select domain from this project (בחירת דומיין מהפרויקט הזה), בוחרים את הדומיין המנוהל של Microsoft AD.
- מזינים את מזהה הפרויקט או המספר שכולל את רשת ה-VPC שרוצים ליצור איתה שותפות.
- מזינים את השם של רשת ה-VPC.
- אופציונלי: כדי להוסיף תוויות, מרחיבים את הקטע תוויות. לוחצים על הוספת תוויות ומזינים את צמדי המפתח/ערך.
- לוחצים על יצירה.
אחרי שהפעולה מסתיימת, בדף Peerings מופיע ה-peering עם הסטטוס Disconnected.
כדי ליצור peering מפרויקט משאבי ה-VPC, מבצעים את השלבים הבאים:
- נכנסים לדף שירות מנוהל ל-Microsoft AD במסוף Google Cloud .
מעבר אל שירות מנוהל ל-Microsoft AD - לוחצים על הכרטיסייה Peerings (חיבורי עמיתים).
- בדף Peerings, לוחצים על Create peering.
- בשדה Name, מזינים שם למשאב ה-Peering.
- בוחרים באפשרות רשת.
- ברשימה Select network from this project (בחירת רשת מהפרויקט הזה), בוחרים את רשת ה-VPC.
- מזינים את המזהה או המספר של הפרויקט שכולל את הדומיין של Microsoft AD המנוהל.
- מזינים את השם של הדומיין המנוהל של Microsoft AD.
- אופציונלי: כדי להוסיף תוויות, מרחיבים את הקטע תוויות. לוחצים על הוספת תוויות ומזינים את צמדי המפתח/ערך.
- לוחצים על יצירה.
אחרי שהפעולה מסתיימת, בדף Peerings מופיעים ה-peerings עם הסטטוס Connected בשני הפרויקטים.
gcloud
מריצים את הפקודה הבאה ב-CLI של gcloud.
gcloud active-directory peerings create PEERING_RESOURCE_NAME \ --domain=DOMAIN_NAME \ --authorized-network=VPC_NETWORK_NAME
מחליפים את מה שכתוב בשדות הבאים:
-
PEERING_RESOURCE_NAME: שם למשאב של צימוד הדומיין (למשל my-domain-peering). -
DOMAIN_NAME: שם משאב מלא של דומיין שירות מנוהל ל-Microsoft AD, בתבנית הבאה:projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME. -
VPC_NETWORK_NAME: שם משאב מלא של רשת ה-VPC, בתבנית:projects/PROJECT_ID/global/networks/NETWORK_NAME.
מקבלים את התגובה הבאה שמציינת שהתחיל תהליך יצירת ה-Peering בין הדומיינים:
Create request issued for: PEERING_RESOURCE_NAME Waiting for operation-1842751234221-5857b78a1a49e-02bc63a3-77e5c7ee to complete...
אחרי שהפעולה תושלם, צריך להגדיר שיוך דומיין בפרויקט של משאב ה-VPC. מריצים את הפקודה הבאה ב-CLI של gcloud.
gcloud active-directory peerings create PEERING_RESOURCE_NAME \ --domain=DOMAIN_NAME \ --authorized-network=VPC_NETWORK_NAME \ --project=VPC_RESOURCE_PROJECT_ID
מחליפים את מה שכתוב בשדות הבאים:
-
PEERING_RESOURCE_NAME: שם למשאב של צימוד הדומיין (למשל my-domain-peering). -
DOMAIN_NAME: שם משאב מלא של דומיין שירות מנוהל ל-Microsoft AD, בתבנית הבאה:projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME. -
VPC_NETWORK_NAME: שם משאב מלא של רשת ה-VPC, בתבנית:projects/PROJECT_ID/global/networks/NETWORK_NAME. -
VPC_RESOURCE_PROJECT_ID: מזהה הפרויקט של פרויקט רשת ה-VPC שמארח את ה-VPC.
מקבלים את התגובה הבאה שמציינת שהתחילה יצירה של שיוך דומיינים:
Create request issued for: PEERING_RESOURCE_NAME Waiting for operation-1842751821453-5857b78a1a49e-02bc63a3-77e5c7ee to complete...
הפעולה הזו יכולה להימשך עד 15 דקות. אפשר לחזור על התהליך כדי ליצור כמה חיבורים בין דומיינים בפרויקט. עם זאת, אפשר ליצור קשר בין עד 10 רשתות VPC לבין דומיין של שירות מנוהל ל-Microsoft AD.