Oracle Cloud Infrastructure-Dokumentation

Private Desktop-Zugriff aktivieren

Secure Desktops bietet eine Option, um den Desktop-Zugriff über ein privates Netzwerk zu ermöglichen.

Der Administrator kann den privaten Desktopzugriff in Oracle Cloud Infrastructure über ein virtuelles Cloud-Netzwerk (VCN) oder ein On-Premise-Netzwerk mit einem privaten Endpunkt aktivieren. Ein privater Endpunkt ist eine private IP-Adresse in Ihrem VCN, mit denen Sie auf einen besonderen Service in Oracle Cloud Infrastructure zugreifen können. Ein privater Endpunkt wird als private IP-Adresse innerhalb eines Subnetzes in Ihrem VCN dargestellt.

Beim Erstellen eines Desktoppools kann der Desktopadministrator den Desktopzugriff mit dem privaten Endpunkt aktivieren, der im VCN konfiguriert ist.

Hinweis

Diese Funktion kann nur beim Erstellen neuer Desktoppools aktiviert werden.

Voraussetzungen

Gehen Sie folgendermaßen vor, bevor Sie einen Desktoppool mit einem privaten Endpunkt erstellen:

  1. Legen Sie die erforderlichen Policys für die Ressourcen fest, mit denen Sie arbeiten. Abhängig von Ihren Compartments sind möglicherweise zusätzliche Policys erforderlich.

    <private-access-network-compartment> ist das Compartment mit dem VCN und Subnetz, das für den privaten Zugriff verwendet wird.

    • Wenn dieses Compartment mit dem <desktops-network-compartment> identisch ist, sind keine neuen Policys erforderlich.
    • Wenn sich dieses Compartment von der <desktops-network-compartment> unterscheidet, müssen Sie die folgenden Policys auf Serviceebene hinzufügen:
      Allow dynamic-group <dynamic-group> to use virtual-network-family in in compartment <private-access-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <private-access-network-compartment>
  2. Erstellen Sie ein VCN in der Region, das auf Ihre Desktoppools zugreift. Weitere Informationen finden Sie unter VCNs und Subnetze. Das VCN muss sich in der Region befinden, in der Sie den Desktoppool erstellen möchten.
  3. Konfigurieren Sie ein Subnetz in dem mit DHCP-Standardoptionen konfigurierten VCN. Weitere Informationen finden Sie unter DNS im virtuellen Cloud-Netzwerk.
    Hinweis

    • Das private Zugriffssubnetz und das Desktoppoolsubnetz können im selben VCN oder in verschiedenen VCNs bereitgestellt werden.
    • Privater Zugriff und Desktoppoolzugriff können im selben Subnetz bereitgestellt werden.
    • Für den Desktopzugriff von einem On-Premise-Netzwerk ist verfügbarer Adressraum im VCN für zusätzliche Subnetze erforderlich, falls dies zur Auflösung des Hostnamens erforderlich ist.
  4. (Optional) Geben Sie eine Netzwerksicherheitsgruppe (NSG) in Ihrem VCN an. Die NSG gibt Regeln für die Konnektivität mit dem Service an. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

DNS-Einstellungen

Der Zugriff auf den Desktoppool des privaten Endpunkts erfolgt über eine IP-Adresse in einer DNS-Zone in folgendem Format:

private.devices.desktops.<region-id>.oci.oraclecloud.com

On-Premise-Clients müssen die Möglichkeit haben, DNS-Einträge für die oben genannte Zone aufzulösen. Dazu muss ein DNS-Listener in einem Subnetz konfiguriert werden, in dem der DNS-Resolver-Typ auf Internet and VCN Resolver gesetzt ist.

VCN-DNS-Listener einrichten

  1. Bearbeiten Sie das Subnetz, um die folgenden DHCP-Optionen festzulegen:
    • Wählen Sie unter "DNS-Typ" den Internet- und VCN-Resolver aus.
    • DNS-Server: Nicht erforderlich

    Weitere Informationen finden Sie unter So aktualisieren Sie Optionen in einem vorhandenen Set von DHCP-Optionen.

  2. Erstellen Sie einen VCN-DNS-Resolverendpunkt.

    Dieser Resolver-Endpunkt kann zum Weiterleiten und Listening auf DNS-Abfragen an oder von einem anderen privaten DNS-System wie einem Peer-VCN oder On-Premise-Netzwerk verwendet werden.

    • Wählen Sie einen Namen für den Endpunkt.
    • Wählen Sie den Endpunkttyp Listening aus.
    • Wählen Sie in der Dropdown-Liste ein Subnetz für den Endpunkt aus. Subnetz mit DHCP "Internet- und VCN-Resolver" auswählen

    Weitere Informationen finden Sie unter Resolver-Endpunkt erstellen.

  3. Erstellen Sie eine Sicherheitsliste für das VCN, um die folgenden Ingress-Regeln so festzulegen, dass DNS zulässig ist:
    • Zustandslos=Nein
    • Quelle=0.0.0.0/0
    • IP-Protokoll=TCP
    • Quellportbereich=Alle
    • Zielportbereich=53
    • Lässt TCP-Traffic für Ports: 53 Domain Name System (DNS)

    Weitere Informationen finden Sie unter Sicherheitslisten erstellen.

On-Premise-DNS-Setup

Nachdem der DNS-Listener konfiguriert wurde, muss der von On-Premise-Clients verwendete DNS-Server für die Verwendung der oben erstellten DNS-Listener-IP-Adresse konfiguriert werden.

Konfigurieren Sie den On-Premise-Intranet-DNS-Server mit bedingter DNS-Weiterleitung an den im VCN konfigurierten DNS-Listener, und geben Sie den Zonennamen an:

private.devices.desktops.<region-id>.oci.oraclecloud.com

Erstellen eines Desktoppools mit dem privaten Endpunkt

Um einen Desktoppool mit dem privaten Endpunkt zu erstellen, stellt der Desktopadministrator während der Erstellung des Desktoppools die folgenden Details zum privaten Zugriff über die Secure Desktops-Konsole oder -API bereit.

  • Virtuelles Cloud-Netzwerk (VCN).
  • Subnetz für privaten Zugriff.
  • (Optional) IP-Adresse, der dem privaten Endpunkt zugewiesen werden soll. Falls nicht definiert, wird automatisch eine IP-Adresse zugewiesen. Secure Desktops definiert den vollqualifizierten Domainnamen für die IP-Adresse.
  • (Optional) Eine oder mehrere Netzwerksicherheitsgruppen (NSGs) zur zusätzlichen Kontrolle des Netzwerkverkehrs.

Weitere Informationen finden Sie unter Creating a Desktop Pool.

Hinweis

Um privaten Zugriff für mehrere Pools im Mandanten zu ermöglichen, werden mehrere private Endpunkte unterstützt. Der DNS-Name für jeden privaten Poolendpunkt ist eindeutig und hat das folgende Format:

<pool-specific-id>.private.devices.desktops.<region-id>.oci.oraclecloud.com

FastConnect

Privater Desktopzugriff erfolgt über Oracle Cloud Infrastructure FastConnect Private Peering. Mit FastConnect können Sie auf einfache Weise eine dedizierte, private Verbindung zwischen Ihrem On-Premise-Data Center und Oracle Cloud Infrastructure erstellen. Portgeschwindigkeiten von 1G bis 400G und keine Gebühren pro Byte für die Datenverschiebung. FastConnect bietet Optionen mit höherer Bandbreite sowie ein zuverlässigeres und konsistenteres Netzwerk als bei internetbasierten Verbindungen.

Weitere Informationen zum privaten FastConnect-Peering, einschließlich Mandantenanforderungen, Netzwerkszenarios und Konfiguration, finden Sie unter FastConnect.

Dynamisches Routinggateway

Private Peering mit FastConnect (mit einem privaten Virtual Circuit) erfordert ein dynamisches Routinggateway (DRG).

Ein DRG ist ein virtueller Edge-Router, der an Ihr VCN angeschlossen ist. Das DRG ist ein zentraler Eintrittspunkt für privaten Traffic in das VCN, unabhängig davon, ob es über FastConnect oder über einen Site-to-Site-VPN-Link erfolgt. Nachdem Sie das DRG erstellt haben, müssen Sie es an Ihr VCN anhängen und eine Route für das DRG in der Routentabelle des VCN hinzufügen, um den Traffic zu aktivieren.

Ein DRG enthält einen Netzwerkanhangstyp VIRTUAL_CIRCUIT. Sie können mindestens einen FastConnect-Virtual Circuit an das DRG anhängen, um die Verbindung zu On-Premise-Netzwerken herstellen zu können.

Mit der Oracle Cloud Infrastructure-Konsole können Sie ein DRG einrichten, an das VCN anhängen und das Routing in Ihrem VCN aktualisieren, um eine Routingregeln zum Senden von Traffic an das DRG aufzunehmen. Es kommt häufig vor, dass das Aktualisieren der Routentabelle vergessen wird. Ohne die Routingregel findet kein Traffic statt.

Weitere Informationen finden Sie unter:

Nachdem das DRG eingerichtet wurde, erstellen Sie einen privaten Virtual Circuit in FastConnect, und wählen Sie das DRG aus, an das der FastConnect-Traffic weitergeleitet werden soll. Weitere Informationen finden Sie unter Erste Schritte mit FastConnect .