Domain-Peering konfigurieren

Auf dieser Seite erfahren Sie, wie Sie das Domain-Peering mit Managed Service für Microsoft Active Directory (Managed Microsoft AD) konfigurieren.

Hinweis

  1. Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch kein Konto bei Google Cloudhaben, erstellen Sie ein Konto, um die Leistung unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Managed Microsoft AD, Cloud DNS, and Compute Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Managed Microsoft AD, Cloud DNS, and Compute Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.
  8. Erstellen Sie eine Managed Microsoft AD-Domain im Domainressourcenprojekt.
  9. Erstellen Sie ein VPC-Netzwerk im VPC-Ressourcenprojekt, mit dem Sie Ihre Domain verbinden möchten.
  10. Achten Sie darauf, dass sich die dem Managed Microsoft AD zugewiesenen IP-Bereiche und die autorisierten Netzwerke nicht überschneiden.
  11. Sie benötigen eine der folgenden IAM-Rollen:
    • Google Cloud Administrator für verwaltete Identitäten (roles/managedidentities.admin)
    • Google Cloud Administrator für verwaltete Identitäten-Peerings (roles/managedidentities.peeringAdmin)
  12. Optional: Prüfen Sie, ob Sie auch die folgenden IAM-Rollen haben:
    • Google Cloud Betrachter für verwaltete Identitäten (roles/managedidentities.viewer)
    • Compute-Netzwerknutzer (roles/compute.networkUser)
    • Compute-Netzwerkbetrachter (roles/compute.networkViewer)

Domain-Peering konfigurieren

Nachdem Sie die Voraussetzungen erfüllt und Ihre Domaininformationen zusammengetragen haben, können Sie die Domain erstellen.

Console

So erstellen Sie ein Peering aus dem Domainressourcenprojekt:

  1. Rufen Sie in der Google Cloud Console die Managed Microsoft AD Seite auf.
    Zu Managed Microsoft AD
  2. Klicken Sie auf den Tab Peerings.
  3. Klicken Sie auf der Seite Peerings auf Peering erstellen.
  4. Geben Sie im Feld Name einen Namen für Ihre Peering-Ressource ein.
  5. Wählen Sie Domain aus.
  6. Wählen Sie in der Liste Domain aus diesem Projekt auswählen Ihre Managed Microsoft AD-Domain aus.
  7. Geben Sie die Projekt-ID oder -nummer ein, die das VPC-Netzwerk enthält, mit dem Sie eine Peering-Verbindung herstellen möchten.
  8. Geben Sie den Namen des VPC-Netzwerk ein.
  9. Optional: Wenn Sie Labels hinzufügen möchten, maximieren Sie den Abschnitt Labels. Klicken Sie auf Labels hinzufügen und geben Sie die Schlüssel/Wert-Paare ein.
  10. Klicken Sie auf Erstellen.

Nach Abschluss des Vorgangs wird auf der Seite Peerings das Peering mit dem Status Getrennt aufgeführt.

So erstellen Sie ein Peering aus dem VPC-Ressourcenprojekt:

  1. Rufen Sie in der Google Cloud Console die Managed Microsoft AD Seite auf.
    Zu Managed Microsoft AD
  2. Klicken Sie auf den Tab Peerings.
  3. Klicken Sie auf der Seite Peerings auf Peering erstellen.
  4. Geben Sie im Feld Name einen Namen für Ihre Peering-Ressource ein.
  5. Wählen Sie Netzwerk aus.
  6. Wählen Sie in der Liste Netzwerk aus diesem Projekt auswählen Ihr VPC-Netzwerk aus.
  7. Geben Sie die Projekt-ID oder -nummer ein, die Ihre Managed Microsoft AD-Domain enthält.
  8. Geben Sie den Namen Ihrer Managed Microsoft AD-Domain ein.
  9. Optional: Wenn Sie Labels hinzufügen möchten, maximieren Sie den Abschnitt Labels. Klicken Sie auf Labels hinzufügen und geben Sie die Schlüssel/Wert-Paare ein.
  10. Klicken Sie auf Erstellen.

Nach Abschluss des Vorgangs werden auf der Seite Peerings die Peerings mit dem Status Verbunden in beiden Projekten aufgeführt.

gcloud

Führen Sie den folgenden gcloud CLI-Befehl aus.

gcloud active-directory peerings create PEERING_RESOURCE_NAME \
  --domain=DOMAIN_NAME \
  --authorized-network=VPC_NETWORK_NAME

Ersetzen Sie Folgendes:

  • PEERING_RESOURCE_NAME: ein Name für Ihre Domain-Peering-Ressource (z. B. my-domain-peering).
  • DOMAIN_NAME: Ein vollständiger Ressourcenname für Ihre Managed Microsoft AD-Domain in Form von projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
  • VPC_NETWORK_NAME: Ein vollständiger Ressourcenname für Ihr VPC-Netzwerk in der Form: projects/PROJECT_ID/global/networks/NETWORK_NAME.

Sie erhalten die folgende Antwort, die angibt, dass die Domainerstellung begonnen hat:

Create request issued for: PEERING_RESOURCE_NAME
Waiting for operation-1842751234221-5857b78a1a49e-02bc63a3-77e5c7ee to complete...

Konfigurieren Sie nach Abschluss des Vorgangs das Domain-Peering im VPC-Ressourcenprojekt. Führen Sie den folgenden gcloud CLI-Befehl aus.

gcloud active-directory peerings create PEERING_RESOURCE_NAME \
  --domain=DOMAIN_NAME \
  --authorized-network=VPC_NETWORK_NAME \
  --project=VPC_RESOURCE_PROJECT_ID

Ersetzen Sie Folgendes:

  • PEERING_RESOURCE_NAME: ein Name für Ihre Domain-Peering-Ressource (z. B. my-domain-peering).
  • DOMAIN_NAME: Ein vollständiger Ressourcenname für Ihre Managed Microsoft AD-Domain in Form von projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
  • VPC_NETWORK_NAME: Ein vollständiger Ressourcenname für Ihr VPC-Netzwerk in der Form: projects/PROJECT_ID/global/networks/NETWORK_NAME.
  • VPC_RESOURCE_PROJECT_ID: die Projekt-ID des VPC-Netzwerkprojekts, in dem die VPC gehostet wird.

Sie erhalten die folgende Antwort, die angibt, dass die Domainerstellung begonnen hat:

Create request issued for: PEERING_RESOURCE_NAME
Waiting for operation-1842751821453-5857b78a1a49e-02bc63a3-77e5c7ee to complete...

Dieser Vorgang kann bis zu 15 Minuten dauern. Sie können den Vorgang wiederholen, um mehrere Domain-Peerings in einem Projekt zu erstellen. Sie können jedoch maximal 10 VPC-Netzwerke mit einer Managed Microsoft AD-Domain verbinden.

Nächste Schritte