Esta página foi traduzida pela API Cloud Translation.

Implemente o Microsoft AD gerido com acesso entre projetos através da interligação de domínios

Este tópico mostra como configurar o intercâmbio de domínios entre o Serviço gerido para o Microsoft Active Directory (Microsoft AD gerido) e a VPC partilhada. Isto permite-lhe disponibilizar o Managed Microsoft AD a projetos de serviços anexados à VPC partilhada.

Vista geral

A interligação de domínios no Managed Microsoft AD cria um recurso de interligação de domínios em cada recurso de domínio e projetos de recursos de VPC. O domínio do Microsoft AD gerido pode ser disponibilizado a todos os projetos anexados à VPC partilhada através da criação de uma interligação de domínios entre o Microsoft AD gerido e a VPC partilhada. Por exemplo, pode autenticar e iniciar sessão no SQL Server através do domínio do Microsoft AD gerido, em que o SQL Server e o Microsoft AD gerido estão em diferentes projetos de serviço anexados à VPC partilhada.

Antes de começar

Antes de começar, faça o seguinte:

Na Google Cloud Console, na página do seletor de projetos, selecione ou crie três Google Cloud projetos. Estes são denominados projetos anfitriões e projetos de serviço. O projeto anfitrião é onde a VPC partilhada está ativada. O domínio do Microsoft AD gerido e as instâncias do Cloud SQL têm de residir em projetos de serviços diferentes. As VMs podem residir num dos projetos de serviço.

Aceder ao seletor de projetos
Ative a faturação para os seus projetos do Google Cloud. Para mais informações, consulte o artigo Verifique se a faturação está ativada num projeto.
Ative a VPC partilhada no projeto anfitrião. Para mais informações, consulte o artigo Ative um projeto anfitrião.
Associe os projetos de serviço à rede VPC partilhada. Cada um dos projetos tem de ter a API Compute Engine ativada. Para efeitos deste exemplo, recomendamos que crie sub-redes separadas na VPC partilhada. Ao anexar o projeto, escolha a sub-rede adequada para cada um dos projetos. Para mais informações, consulte o artigo Anexe projetos de serviço.
Crie um domínio do Microsoft AD gerido no projeto de serviço. A rede de VPC autorizada durante a criação do domínio do Microsoft AD gerido é independente das redes de VPC partilhada. Para criar um domínio do Microsoft AD gerido sem uma rede autorizada, use o comando da CLI gcloud.

Configure a interligação de domínios

Crie uma interligação de domínios a partir do projeto de serviço que tem o recurso de domínio para a rede VPC partilhada. Para mais informações sobre a interligação de domínios, consulte o artigo Configure a interligação de domínios.
```
gcloud active-directory peerings create PEERING-RESOURCE-NAME \
--domain=DOMAIN-RESOURCE-NAME \
--authorized-network=SHARED-VPC-NAME
```
Substitua o seguinte:
- PEERING-RESOURCE-NAME: um nome para o recurso de peering de domínio (como my-domain-peering).
- DOMAIN-RESOURCE-NAME: o nome completo do recurso do seu domínio do Microsoft AD gerido, no formato: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
- SHARED-VPC-NAME: O nome completo do recurso da sua rede VPC partilhada, no formato: projects/PROJECT-ID/global/networks/NETWORK-NAME.
Liste as associações de domínios para verificar o estado. Execute o seguinte comando da CLI gcloud:
```
gcloud active-directory peerings list --project=PROJECT_ID
```
Substitua PROJECT_ID pelo ID do projeto de serviço usado para criar o recurso de interligação de domínios.

Devolve o estado como DISCONNECTED.
Crie a interligação de domínios inversa a partir do projeto anfitrião.
```
gcloud active-directory peerings create PEERING-RESOURCE-NAME \
--domain=DOMAIN-RESOURCE-NAME \
--authorized-network=SHARED-VPC-NAME \
--project=VPC-RESOURCE-PROJECT-ID
```
Substitua o seguinte:
- PEERING-RESOURCE-NAME: um nome para o recurso de peering de domínio (como my-domain-peering).
- DOMAIN-RESOURCE-NAME: o nome completo do recurso do seu domínio do Microsoft AD gerido, no formato: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
- SHARED-VPC-NAME: O nome completo do recurso da sua rede VPC partilhada, no formato: projects/PROJECT-ID/global/networks/NETWORK-NAME.
- VPC-RESOURCE-PROJECT-ID: o ID do projeto anfitrião que está a alojar a VPC partilhada.
Liste novamente as interligações de domínios para verificar o estado. Execute o seguinte comando da CLI gcloud:
```
gcloud active-directory peerings list --project=PROJECT_ID
```
Substitua PROJECT_ID pelo ID do projeto de serviço usado para criar o recurso de interligação de domínios.

Devolve o estado como CONNECTED dos projetos de anfitrião e de serviço.

Configure a instância do Cloud SQL (SQL Server)

Crie a instância do Cloud SQL (SQL Server) no projeto de serviço com o IP privado ativado e selecione a rede da VPC partilhada. Para mais informações, consulte o artigo Crie uma instância com a autenticação do Windows.
Após a conclusão da interligação de domínios, modifique a configuração do Cloud SQL (SQL Server) para usar o seu domínio do Microsoft AD gerido para autenticação. Execute o seguinte comando da CLI gcloud:
```
gcloud beta sql instances patch INSTANCE-NAME \
--active-directory-domain=DOMAIN-RESOURCE-NAME
```
Substitua o seguinte:
- INSTANCE-NAME: o nome da sua instância do Cloud SQL no projeto de serviço.
- DOMAIN-RESOURCE-NAME: o nome completo do recurso do seu domínio do Microsoft AD gerido que quer usar para autenticação. Formato do nome completo do recurso: projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
Para mais informações, consulte o artigo Ative a autenticação do Windows entre projetos.

O SQL Server está agora configurado com a autenticação do Windows ativada.

Teste a configuração

Crie uma VM do Windows ou do Linux no projeto de serviço. Ao criar a VM, selecione a VPC partilhada e a sub-rede que é partilhada na VPC partilhada com este projeto de serviço.
Adicione a VM a um domínio. Para mais informações sobre como associar uma VM do Windows a um domínio, consulte o artigo Associe uma VM do Windows a um domínio.
Crie um início de sessão do SQL Server com base num utilizador ou grupo do Windows. Para mais informações, consulte o artigo Estabeleça ligação a uma instância com um utilizador.
Estabeleça ligação através do nome DNS da instância do SQL Server. Para mais informações, consulte o passo 2 em Estabeleça ligação a uma instância com um utilizador.

Resumo

Fez o peering de um domínio do Managed Microsoft AD com o anfitrião da VPC partilhada e criou o SQL Server na VPC partilhada. Com esta interligação de domínios, a autenticação do Windows entre projetos é ativada para o SQL Server.

Embora no cenário acima o Microsoft AD gerido e o SQL Server estejam em projetos de serviço diferentes, a configuração dos mesmos no mesmo projeto de serviço também é suportada.

Em alternativa, também pode ter o domínio do Microsoft AD gerido no projeto anfitrião. Neste caso, a VPC partilhada tem de ser adicionada como uma rede autorizada ao domínio do Microsoft AD gerido. Para mais informações, consulte o artigo Adicionar redes autorizadas a um domínio existente.

Em todos estes cenários através do intercâmbio com a VPC partilhada, o domínio está disponível para os projetos de serviço anexados à VPC partilhada.

Implemente o Microsoft AD gerido com acesso entre projetos através da interligação de domínios Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.