Configurar o peering de domínio

Esta página mostra como configurar o peering de domínio com o Serviço gerenciado para Microsoft Active Directory (Microsoft AD gerenciado).

Antes de começar

  1. Faça login na sua Google Cloud conta do. Se você não conhece o Google Cloud, crie uma conta para avaliar o desempenho dos nossos produtos em cenários reais. Clientes novos também recebem US $300 em créditos para executar, testar e implantar cargas de trabalho.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Managed Microsoft AD, Cloud DNS, and Compute Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Managed Microsoft AD, Cloud DNS, and Compute Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.
  8. Crie um domínio do Microsoft AD gerenciado no projeto de recurso de domínio.
  9. Crie uma rede VPC no projeto de recurso de VPC com que você quer fazer peering de domínio.
  10. Verifique se os intervalos de IP atribuídos ao Microsoft AD gerenciado e às redes autorizadas não se sobrepõem.
  11. Verifique se você tem um dos seguintes papéis do IAM:
    • Google Cloud Administrador de identidades gerenciadas (roles/managedidentities.admin)
    • Google Cloud Administrador de peering de identidades gerenciadas (roles/managedidentities.peeringAdmin)
  12. Opcional: verifique se você também tem os seguintes papéis do IAM:
    • Google Cloud Leitor de identidades gerenciadas (roles/managedidentities.viewer)
    • Usuário da rede do Compute (roles/compute.networkUser)
    • Leitor da rede do Compute (roles/compute.networkViewer)

Configurar o peering de domínio

Depois de concluir os pré-requisitos e coletar as informações de domínio, você poderá criar o domínio.

Console

Para criar um peering no projeto de recurso de domínio, siga estas etapas:

  1. No Google Cloud console, acesse a página Microsoft AD gerenciado.
    Acessar o Microsoft AD gerenciado
  2. Clique na guia Peerings.
  3. Na página Peerings, clique em Criar peering.
  4. No campo Nome, insira um nome para o recurso de peering.
  5. Selecione Domínio.
  6. Na lista Selecionar domínio deste projeto, selecione seu domínio do Microsoft AD gerenciado.
  7. Insira o ID do projeto ou o número que inclui a rede VPC com que você quer fazer peering.
  8. Digite o nome da sua rede VPC.
  9. Opcional: para adicionar rótulos, expanda a seção Rótulos. Clique em Adicionar rótulos e insira os pares de chave-valor.
  10. Clique em Criar.

Após a conclusão da operação, a página Peerings lista o peering com o status Desconectado.

Para criar um peering no projeto de recurso de VPC, siga estas etapas:

  1. No Google Cloud console, acesse a página Microsoft AD gerenciado.
    Acessar o Microsoft AD gerenciado
  2. Clique na guia Peerings.
  3. Na página Peerings, clique em Criar peering.
  4. No campo Nome, insira um nome para o recurso de peering.
  5. Selecione Rede.
  6. Na lista Selecionar rede deste projeto, selecione sua rede VPC.
  7. Insira o ID ou o número do projeto que inclui seu domínio do Microsoft AD gerenciado.
  8. Insira o nome do seu domínio do Microsoft AD gerenciado.
  9. Opcional: para adicionar rótulos, expanda a seção Rótulos. Clique em Adicionar rótulos e insira os pares de chave-valor.
  10. Clique em Criar.

Após a conclusão da operação, a página Peerings lista os peerings com o status Conectado nos dois projetos.

gcloud

Execute o seguinte comando da CLI gcloud.

gcloud active-directory peerings create PEERING_RESOURCE_NAME \
  --domain=DOMAIN_NAME \
  --authorized-network=VPC_NETWORK_NAME

Substitua:

  • PEERING_RESOURCE_NAME: um nome para o recurso de peering de domínio (como my-domain-peering).
  • DOMAIN_NAME: um nome de recurso completo para o domínio do Microsoft AD gerenciado, no formato: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
  • VPC_NETWORK_NAME: um nome de recurso completo para a rede VPC no formato: projects/PROJECT_ID/global/networks/NETWORK_NAME.

Você recebe a seguinte resposta que indica que a criação do domínio foi iniciada:

Create request issued for: PEERING_RESOURCE_NAME
Waiting for operation-1842751234221-5857b78a1a49e-02bc63a3-77e5c7ee to complete...

Após a conclusão da operação, configure o peering de domínio no projeto de recurso de VPC. Execute o seguinte comando da CLI gcloud.

gcloud active-directory peerings create PEERING_RESOURCE_NAME \
  --domain=DOMAIN_NAME \
  --authorized-network=VPC_NETWORK_NAME \
  --project=VPC_RESOURCE_PROJECT_ID

Substitua:

  • PEERING_RESOURCE_NAME: um nome para o recurso de peering de domínio (como my-domain-peering).
  • DOMAIN_NAME: um nome de recurso completo para o domínio do Microsoft AD gerenciado, no formato: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
  • VPC_NETWORK_NAME: um nome de recurso completo para a rede VPC no formato: projects/PROJECT_ID/global/networks/NETWORK_NAME.
  • VPC_RESOURCE_PROJECT_ID: o ID do projeto da rede VPC que hospeda a VPC;

Você recebe a seguinte resposta que indica que a criação do domínio foi iniciada:

Create request issued for: PEERING_RESOURCE_NAME
Waiting for operation-1842751821453-5857b78a1a49e-02bc63a3-77e5c7ee to complete...

Essa operação pode levar até 15 minutos para ser concluída. É possível repetir o processo para criar vários peerings de domínio em um projeto. No entanto, é possível fazer peering de até 10 redes VPC com um domínio do Microsoft AD gerenciado.

A seguir