Oracle Cloud Infrastructure-Dokumentation

Zugriff auf privaten Desktop aktivieren

Secure Desktops bietet eine Option zum Aktivieren des Desktop-Zugriffs über ein privates Netzwerk.

Der Administrator kann den privaten Desktopzugriff in Oracle Cloud Infrastructure über ein virtuelles Cloud-Netzwerk (VCN) oder On-Premise-Netzwerk mit einem privaten Endpunkt aktivieren. Ein privater Endpunkt ist eine private IP-Adresse in Ihrem VCN, mit der Sie auf einen bestimmten Service innerhalb von Oracle Cloud Infrastructure zugreifen können. Ein privater Endpunkt wird als private IP-Adresse innerhalb eines Subnetzes in Ihrem VCN dargestellt.

Wenn der Desktopadministrator einen Desktoppool erstellt, kann er den Desktopzugriff mit dem im VCN konfigurierten privaten Endpunkt aktivieren.

Hinweis

Dieses Feature kann nur beim Erstellen neuer Desktoppools aktiviert werden.

Voraussetzungen

Gehen Sie folgendermaßen vor, bevor Sie einen Desktoppool mit einem privaten Endpunkt erstellen:

  1. Legen Sie die erforderlichen Policys für die Ressourcen fest, mit denen Sie arbeiten. Abhängig von Ihren Compartments sind möglicherweise zusätzliche Policys erforderlich.

    <private-access-network-compartment> ist das Compartment mit dem VCN und dem Subnetz, das für den privaten Zugriff verwendet wird.

    • Wenn dieses Compartment mit dem Compartment <desktops-network-compartment> identisch ist, sind keine neuen Policys erforderlich.
    • Wenn sich dieses Compartment von <desktops-network-compartment> unterscheidet, müssen Sie die folgenden Policys auf Serviceebene hinzufügen:
      Allow dynamic-group <dynamic-group> to use virtual-network-family in in compartment <private-access-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <private-access-network-compartment>
  2. Erstellen Sie ein VCN in der Region, das auf Ihre Desktoppools zugreift. Weitere Informationen finden Sie unter VCNs und Subnetze. Das VCN muss sich in der Region befinden, in der Sie den Desktoppool erstellen möchten.
  3. Konfigurieren Sie ein Subnetz in dem mit DHCP-Standardoptionen konfigurierten VCN. Weitere Informationen finden Sie unter DNS im virtuellen Cloud-Netzwerk.
    Hinweis

    • Das Subnetz für den privaten Zugriff und den Desktoppool können im selben VCN oder in verschiedenen VCNs bereitgestellt werden.
    • Privater Zugriff und Desktoppoolzugriff können im selben Subnetz bereitgestellt werden.
    • Für den Desktopzugriff von einem On-Premise-Netzwerk ist im VCN ein verfügbarer Adressraum für zusätzliche Subnetze erforderlich, falls dies zur Auflösung von Hostnamen erforderlich ist.
  4. (Optional) Geben Sie eine Netzwerksicherheitsgruppe (NSG) im VCN an. Die NSG gibt Regeln für die Konnektivität zum Service an. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

DNS-Einstellungen

Der Zugriff auf den privaten Endpunktdesktoppool erfolgt über eine IP-Adresse in einer DNS-Zone in folgendem Format:

private.devices.desktops.<region-id>.oci.oraclecloud.com

On-Premise-Clients müssen die Möglichkeit haben, DNS-Einträge für die obige Zone aufzulösen. Dazu muss ein DNS-Listener in einem Subnetz mit dem DNS-Resolver-Typ Internet and VCN Resolver konfiguriert werden.

DNS-Listener-Setup für VCN

  1. Bearbeiten Sie das Subnetz, um die folgenden DHCP-Optionen festzulegen:
    • Wählen Sie unter "DNS-Typ" die Option "Internet- und VCN-Resolver" aus.
    • DNS-Server: Nicht erforderlich

    Weitere Informationen finden Sie unter So aktualisieren Sie Optionen in einem vorhandenen Set von DHCP-Optionen.

  2. Erstellen Sie einen VCN-DNS-Resolver-Endpunkt.

    Mit diesem Resolver-Endpunkt können Sie DNS-Abfragen an oder von einem anderen privaten DNS-System wie ein Peering-VCN oder On-Premise-Netzwerk weiterleiten und darauf horchen.

    • Wählen Sie einen Namen für den Endpunkt aus.
    • Wählen Sie den Endpunkttyp Listening aus.
    • Wählen Sie in der Dropdown-Liste ein Subnetz für den Endpunkt aus. Wählen Sie das Subnetz mit DHCP "Internet and VCN Resolver" aus

    Weitere Informationen finden Sie unter Erstellen eines Resolver-Endpunkts.

  3. Erstellen Sie eine Sicherheitsliste für das VCN, um die folgenden Ingress-Regeln so festzulegen, dass DNS zulässig ist:
    • Zustandslos=Nein
    • Quelle=0.0.0.0/0
    • IP-Protokoll=TCP
    • Quellportbereich=Alle
    • Zielportbereich=53
    • Lässt TCP-Traffic für folgende Ports zu: 53 Domain Name System (DNS)

    Weitere Informationen finden Sie unter Sicherheitsliste erstellen.

On-Premises-DNS-Setup

Nachdem der DNS-Listener konfiguriert wurde, muss der von On-Premise-Clients verwendete DNS-Server so konfiguriert werden, dass die oben erstellte DNS-Listener-IP-Adresse verwendet wird.

Konfigurieren Sie Ihren On-Premise-Intranet-DNS-Server mit bedingter DNS-Weiterleitung an den im VCN konfigurierten DNS-Listener, und geben Sie den Zonennamen an:

private.devices.desktops.<region-id>.oci.oraclecloud.com

Desktoppool mit dem privaten Endpunkt erstellen

Um einen Desktoppool mit dem privaten Endpunkt zu erstellen, stellt der Desktopadministrator die folgenden privaten Zugriffsdetails während der Desktoppoolerstellung mit der Secure Desktops-Konsole oder -API bereit.

  • Virtuelles Cloud-Netzwerk (VCN).
  • Subnetz für privaten Zugriff.
  • (Optional) IP-Adresse, die dem privaten Endpunkt zugewiesen werden soll. Ist keine IP-Adresse definiert, wird diese automatisch zugewiesen. Secure Desktops definiert den vollqualifizierten Domainnamen für die IP-Adresse.
  • (Optional) Mindestens eine Netzwerksicherheitsgruppe (NSGs) zur zusätzlichen Kontrolle des Netzwerktraffics.

Weitere Informationen finden Sie unter Creating a Desktop Pool.

Hinweis

Um privaten Zugriff für mehrere Pools im Mandanten bereitzustellen, werden mehrere private Endpunkte unterstützt. Der DNS-Name für jeden privaten Poolendpunkt ist eindeutig und hat das folgende Format:

<pool-specific-id>.private.devices.desktops.<region-id>.oci.oraclecloud.com

FastConnect

Der private Desktopzugriff erfolgt über das private Peering mit Oracle Cloud Infrastructure FastConnect. Mit FastConnect können Sie auf einfache Weise eine dedizierte, private Verbindung zwischen Ihrem On-Premise-Data-Center und Oracle Cloud Infrastructure erstellen, mit Portgeschwindigkeiten von 1G bis 400G und ohne Gebühren pro Byte für die Datenverschiebung. FastConnect bietet Optionen mit höherer Bandbreite sowie ein zuverlässigeres und konsistenteres Netzwerk als bei internetbasierten Verbindungen.

Weitere Informationen zum privaten Peering mit FastConnect, einschließlich Mandantenanforderungen, Netzwerkszenarios und Konfiguration, finden Sie unter FastConnect.

Dynamisches Routinggateway

Für das private FastConnect-Peering (mit einem privaten Virtual Circuit) ist ein dynamisches Routinggateway (DRG) erforderlich.

Ein DRG ist ein mit Ihrem VCN verbundener virtueller Edge-Router. Das DRG ist ein einzelner Eintrittspunkt für privaten Traffic in das VCN, ob über FastConnect oder einen Site-to-Site-VPN-Link. Nachdem Sie das DRG erstellt haben, müssen Sie es an Ihr VCN anhängen und eine Route für das DRG in der Routentabelle des VCN hinzufügen, um den Traffic zu aktivieren.

Ein DRG enthält den Netzwerkanhangstyp VIRTUAL_CIRCUIT. Sie können einen oder mehrere FastConnect-VMs an das DRG anschließen, um eine Verbindung zu On-Premise-Netzwerken herzustellen.

Mit der Oracle Cloud Infrastructure-Konsole können Sie ein DRG einrichten, es an das VCN anhängen und das Routing im VCN aktualisieren, um eine Routingregel zum Senden von Traffic an das DRG aufzunehmen. Es ist leicht zu vergessen, die Aktualisierung der Routentabelle zu vergessen. Ohne die Routingregel findet kein Traffic statt.

Weitere Informationen finden Sie unter:

Nachdem das DRG eingerichtet wurde, erstellen Sie einen privaten Virtual Circuit in FastConnect, und wählen Sie das DRG aus, an das der FastConnect-Traffic weitergeleitet werden soll. Weitere Informationen finden Sie unter Erste Schritte mit FastConnect.