פריסה של שירות מנוהל ל-Microsoft AD עם גישה בין פרויקטים באמצעות שילוב דומיינים

במאמר הזה נסביר איך להגדיר שיוך דומיין בין Managed Service for Microsoft Active Directory (‏Managed Microsoft AD) לבין Shared VPC. כך תוכלו להפוך את שירות מנוהל ל-Microsoft AD לזמין בפרויקטים של שירותים שמצורפים ל-VPC משותף.

סקירה כללית

Domain peering בשירות מנוהל ל-Microsoft AD יוצר משאב של צימוד דומיינים בכל משאב דומיין ובכל פרויקט של משאב VPC. אפשר להפוך שירות מנוהל ל-Microsoft AD לזמין לכל הפרויקטים שמצורפים ל-VPC המשותף על ידי יצירת קישור בין רשתות שכנות (peering) בין שירות מנוהל ל-Microsoft AD לבין VPC משותף. לדוגמה, אתם יכולים לאמת ולהיכנס ל-SQL Server באמצעות דומיין של שירות מנוהל ל-Microsoft AD, כאשר SQL Server ושירות מנוהל ל-Microsoft AD נמצאים בפרויקטים שונים של שירות שמצורפים ל-VPC המשותף.

לפני שמתחילים

לפני שמתחילים, צריך לבצע את הפעולות הבאות:

  1. במסוף Google Cloud, בדף לבחירת הפרויקט בוחרים או יוצרים שלושה Google Cloud פרויקטים. הם נקראים פרויקט מארח ופרויקט שירות. בפרויקט המארח מופעל VPC משותף. שירות מנוהל ל-Microsoft AD ומופעי Cloud SQL צריכים להיות בפרויקטים שונים של שירותים. יכול להיות שהמכונות הווירטואליות נמצאות באחד מפרויקטי השירות.

    כניסה לדף לבחירת הפרויקט

  2. מפעילים את החיוב בפרויקטים בענן. מידע נוסף זמין במאמר בדיקה שהחיוב מופעל בפרויקט.

  3. מפעילים VPC משותף בפרויקט המארח. מידע נוסף זמין במאמר הפעלת פרויקט מארח.

  4. מצרפים את הפרויקטים של השירות לרשת ה-VPC המשותפת. צריך להפעיל את Compute Engine API בכל אחד מהפרויקטים. לצורך הדוגמה הזו, מומלץ ליצור תת-רשתות נפרדות ב-VPC המשותף. כשמצרפים את הפרויקט, בוחרים את רשת המשנה המתאימה לכל אחד מהפרויקטים. מידע נוסף זמין במאמר צירוף פרויקטים של שירותים.

  5. יוצרים דומיין מנוהל של Microsoft AD בפרויקט השירות. רשת ה-VPC שאושרה במהלך יצירת שירות מנוהל ל-Microsoft AD היא נפרדת מרשתות ה-VPC המשותפות. כדי ליצור שירות מנוהל ל-Microsoft AD ללא רשת מורשית, משתמשים ב-CLI של gcloud.

הגדרת שיתוף פעולה בין דומיינים

  1. יוצרים קישור בין דומיינים מפרויקט השירות שמכיל את משאב הדומיין לרשת ה-VPC המשותפת. מידע נוסף על שיתוף פעולה בין דומיינים זמין במאמר הגדרת שיתוף פעולה בין דומיינים.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
--domain=DOMAIN-RESOURCE-NAME \
--authorized-network=SHARED-VPC-NAME

    מחליפים את מה שכתוב בשדות הבאים:

    • PEERING-RESOURCE-NAME: שם למשאב של שיוך הדומיין (למשל my-domain-peering).
    • DOMAIN-RESOURCE-NAME: שם המשאב המלא של דומיין שירות מנוהל ל-Microsoft AD, בתבנית: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME: שם המשאב המלא של רשת ה-VPC המשותפת, בתבנית: projects/PROJECT-ID/global/networks/NETWORK-NAME.

  2. מציגים את רשימת ה-peering של הדומיינים כדי לאמת את הסטטוס. מריצים ב-CLI של gcloud את הפקודה הבאה:

    gcloud active-directory peerings list --project=PROJECT_ID

    מחליפים את PROJECT_ID במזהה הפרויקט של פרויקט השירות שמשמש ליצירת משאב הפירינג של הדומיין.

    הפונקציה מחזירה את המצב כ-DISCONNECTED.

  3. יוצרים את הקישור ההפוך בין הדומיינים מפרויקט המארח.

    gcloud active-directory peerings create PEERING-RESOURCE-NAME \
--domain=DOMAIN-RESOURCE-NAME \
--authorized-network=SHARED-VPC-NAME \
--project=VPC-RESOURCE-PROJECT-ID

    מחליפים את מה שכתוב בשדות הבאים:

    • PEERING-RESOURCE-NAME: שם למשאב של שיוך הדומיין (למשל my-domain-peering).
    • DOMAIN-RESOURCE-NAME: שם המשאב המלא של דומיין שירות מנוהל ל-Microsoft AD, בתבנית: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
    • SHARED-VPC-NAME: שם המשאב המלא של רשת ה-VPC המשותפת, בתבנית: projects/PROJECT-ID/global/networks/NETWORK-NAME.
    • VPC-RESOURCE-PROJECT-ID: מזהה הפרויקט המארח שמארח את ה-VPC המשותף.

  4. מריצים שוב את הפקודה לרשימת ה-peerings של הדומיין כדי לאמת את הסטטוס. מריצים ב-CLI של gcloud את הפקודה הבאה:

    gcloud active-directory peerings list --project=PROJECT_ID

    מחליפים את PROJECT_ID במזהה הפרויקט של פרויקט השירות שמשמש ליצירת משאב הפירינג של הדומיין.

    הפונקציה מחזירה את המצב CONNECTED גם מהפרויקט המארח וגם מפרויקט השירות.

הגדרת המכונה של Cloud SQL ‏ (SQL Server)

  1. יוצרים את מופע Cloud SQL ‏ (SQL Server) בפרויקט השירות עם כתובת IP פרטית מופעלת, ובוחרים את הרשת של ה-VPC המשותף. מידע נוסף מופיע במאמר יצירת מופע עם אימות Windows.

  2. אחרי שהשיוך בין הדומיינים יסתיים, צריך לשנות את ההגדרה של Cloud SQL ‏ (SQL Server) כדי להשתמש בשירות מנוהל ל-Microsoft AD לאימות. מריצים ב-CLI של gcloud את הפקודה הבאה:

    gcloud beta sql instances patch INSTANCE-NAME \
--active-directory-domain=DOMAIN-RESOURCE-NAME

    מחליפים את מה שכתוב בשדות הבאים:

    • INSTANCE-NAME: השם של מופע Cloud SQL בפרויקט השירות.
    • DOMAIN-RESOURCE-NAME: שם המשאב המלא של דומיין שירות מנוהל ל-Microsoft AD שרוצים להשתמש בו לאימות. פורמט השם המלא של המשאב: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.

    מידע נוסף זמין במאמר הפעלת אימות Windows בין פרויקטים.

שרת SQL מוגדר עכשיו עם אימות Windows מופעל.

בדיקת ההגדרה

  1. יוצרים מכונה וירטואלית (VM) של Windows או Linux בפרויקט השירות. במהלך יצירת המכונה הווירטואלית, בוחרים את ה-VPC המשותף ואת רשת המשנה שמשותפת ב-VPC המשותף עם פרויקט השירות הזה.
  2. צירוף המכונה הווירטואלית לדומיין. מידע נוסף על צירוף מכונה וירטואלית של Windows לדומיין זמין במאמר צירוף מכונה וירטואלית של Windows לדומיין.
  3. יוצרים התחברות ל-SQL Server על סמך משתמש או קבוצה ב-Windows. מידע נוסף זמין במאמר בנושא חיבור למופע באמצעות משתמש.
  4. מתחברים באמצעות שם ה-DNS של מופע SQL Server. מידע נוסף זמין בשלב 2 במאמר חיבור למופע באמצעות משתמש.

סיכום

ביצעתם שיוך של דומיין של שירות מנוהל ל-Microsoft AD עם פרויקט מארח של VPC משותף, ויצרתם SQL Server ב-VPC המשותף. עם שיוך הדומיין הזה, מופעל אימות Windows בין פרויקטים עבור SQL Server.

בתרחיש שלמעלה, שירות מנוהל ל-Microsoft AD ו-SQL Server נמצאים בפרויקטים שונים של שירותים, אבל אפשר גם להגדיר אותם באותו פרויקט של שירות.

אפשרות נוספת היא להגדיר את שירות מנוהל ל-Microsoft AD בפרויקט המארח. במקרה כזה, צריך להוסיף את ה-VPC המשותף כרשת מורשית לדומיין של שירות מנוהל ל-Microsoft AD. מידע נוסף זמין במאמר הוספת רשתות מורשות לדומיין קיים.

בכל התרחישים האלה, באמצעות קישור ל-VPC משותף, הדומיין זמין לפרויקטים של השירות שמצורפים ל-VPC המשותף.