Oracle Cloud Infrastructure-Dokumentation

Mandanten einrichten

Um den Mandanten für Secure Desktops einzurichten, muss der Mandantenadministrator Compartments einrichten, Policys für Benutzer und Gruppen erstellen und die verfügbaren Images, Speicher und Netzwerke konfigurieren, die der Desktopadministrator verwenden kann.

Hinweis

Oracle empfiehlt, den Secure Desktops Resource Manager-(ORM-)Stack zu verwenden, um das Einrichten des Mandanten zu vereinfachen. Der ORM-Stack unterstützt Sie bei mehreren Prozessaufgaben, um sicherzustellen, dass der Mandant gemäß den Best Practices eingerichtet ist.

  • Erstellen von Policys, dynamischen Gruppen und Benutzerzugriff für den Secure Desktops-Service.
  • Erstellen oder Onboarding vorhandener Netzwerkressourcen.
  • Importieren eines benutzerdefinierten Images zur Verwendung in einem Secure Desktops-Pool.

Laden Sie die erforderliche ORM-Stacksetupdatei aus dem Oracle Cloud Marketplace herunter.

Anweisungen zur Verwendung des ORM-Stacks finden Sie unter OCI Secure Desktops: So konfigurieren Sie Mandanten mit ORM-Stack (KB48885).

Compartments einrichten

Richten Sie die Compartments ein, die für Secure Desktops erforderlich sind, um den Zugriff auf Desktoppools zu kontrollieren.

  1. Arbeiten Sie mit dem Desktopadministrator zusammen, um zu erfahren, welche Compartments erforderlich sind.

    Mit Compartments können Sie den Zugriff auf Desktops kontrollieren. Beispiel: Sie benötigen wahrscheinlich ein Compartment pro Desktoppool, und es sind mehrere Desktoppools vorhanden. Siehe Understanding Desktop User Access to a Desktop Pool und Desktop Pools. Möglicherweise müssen Sie auch Compartments verwenden, um andere Ressourcen getrennt zu halten.

  2. Erstellen Sie Compartments wie unter Best Practices zum Einrichten Ihres Mandanten beschrieben.

Policys für den Service erstellen

Definieren Sie eine dynamische Gruppe, und fügen Sie Policys hinzu, damit der Secure Desktops-Service im Mandanten ausgeführt werden kann.

  1. Fügen Sie eine dynamische Gruppe für Desktoppools in den von Ihnen verwalteten Compartments hinzu. Anweisungen zum Erstellen dynamischer Gruppen finden Sie unter Dynamische Gruppen verwalten. So definieren Sie die dynamische Gruppe mit Compartments:
    1. Geben Sie der dynamischen Gruppe einen Namen, den Sie in den Policy-Anweisungen verwenden, z.B. DesktopPoolDynamicGroup.
    2. Wählen Sie die Option Alle unten definierten Regeln abgleichen für die dynamische Gruppe.
    3. Fügen Sie die folgende Übereinstimmungsregel hinzu, um die Desktoppoolressource zu identifizieren: 
      resource.type = 'desktoppool'
    4. Fügen Sie optional eine zusätzliche Vergleichsregel hinzu, um Compartments zu identifizieren, die Desktoppools enthalten: 
      Any {resource.compartment.id = '<ocid>', resource.compartment.id = '<ocid>'}

      Dabei ist <ocid> die Ressourcen-ID für jedes Compartment. Beispiele:

      Any {resource.compartment.id = '<OCID-OracleLinux8Standard>', resource.compartment.id = '<OCID-OracleLinux8Extra>'}
  2. Fügen Sie im Root Compartment die folgenden Policys für jede hinzugefügte dynamische Gruppe hinzu. Dadurch können die Desktoppools in den dynamischen Gruppen auf die erforderlichen Ressourcen auf Mandantenebene zugreifen.

    Eine Einführung in Policys finden Sie unter Erste Schritte mit Policys.

    Informationen zum Erstellen einer Policy finden Sie unter Policy mit der Konsole erstellen.

    In den folgenden Beispielen werden dynamische Gruppen so ausgewertet, als ob sie zur Standardidentitätsdomain gehören. Wenn Sie eine nicht standardmäßige Identitätsdomain verwenden, müssen Sie den Identitätsdomainnamen vor der dynamischen Gruppe in die Policy-Anweisung aufnehmen. Weitere Informationen, einschließlich Syntaxbeispiele, finden Sie unter Policy-Syntax.

    Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

    Dabei ist <dynamic-group> der Name der dynamischen Gruppe, die eine Gruppe von Desktoppools angibt.

  3. Fügen Sie im Root Compartment oder im Compartment über den von Ihnen verwalteten Desktoppool-Compartments die folgenden Policys hinzu, damit die Desktoppools in jeder dynamischen Gruppe mit den erforderlichen Ressourcen interagieren können.

    Informationen zum Erstellen einer Policy finden Sie unter Policy mit der Konsole erstellen.

    Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
    Wobei:
    • <dynamic-group> ist der Name der dynamischen Gruppe, die eine Gruppe von Desktoppools angibt.
    • <desktops-network-compartment> ist der Name des Compartments, das das von den Desktoppools verwendete VCN enthält. Wenn dieses Compartment kein untergeordnetes Compartment der Compartments über den Desktoppool-Compartments ist, muss die Policy im Root Compartment angegeben werden.
    • <image-compartment> ist der Name des Compartments, das Desktopimageinstanzen enthält, die von den Desktoppools verwendet werden. Wenn dieses Compartment keinem der Compartments über den Desktoppool-Compartments untergeordnet ist, muss die Policy im Root Compartment angegeben werden.
    • <desktop-compartment> ist der Name einer der folgenden Optionen:
      • Das Compartment mit Desktoppools und zugehörigen Speicherdatenträgern und Ressourcen.
      • Ein übergeordnetes Element der Compartments, die Desktoppools enthalten.
    Hinweis

    Wenn Sie private Desktoppools erstellen möchten, sind möglicherweise zusätzliche Policys erforderlich. Weitere Informationen finden Sie unter Privaten Desktopzugriff aktivieren.

    Dieses Beispiel zeigt die Policys, die für zwei Desktops in zwei unabhängigen Compartments erforderlich sind: OracleLinux8Standard und OracleLinux8Extra. Wenn alle Compartments unter einem gemeinsamen übergeordneten Compartment dieselben Policys verwenden, können Sie diese einmal mit dem übergeordneten Compartment auflisten, um eine Duplizierung zu vermeiden.

    Allow dynamic-group DesktopPoolDynamicGroup to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect users in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect compartments in tenancy
Allow dynamic-group DesktopPoolDynamicGroup to use tag-namespaces in tenancy

Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment VirtualCloudNetworks
Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment Images

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Standard

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Extra

Policys für Benutzerautorisierung erstellen

Richten Sie den entsprechenden Benutzerzugriff ein, damit Desktopadministratoren Pools verwalten und Desktopbenutzer eine Verbindung zu Desktops herstellen können.

Es sind zwei Gruppentypen erforderlich:

  • Administratorgruppen für die Desktopadministratoren, die den Service zur Bereitstellung von Desktops verwenden.
  • Benutzergruppen für die Desktopbenutzer, die eine Verbindung zu den Desktops herstellen.
Diese Gruppen werden zusätzlich zur Mandantenadministratorgruppe verwendet, um Berechtigungen zum Erstellen von Compartments, Images usw. zu erteilen. Siehe beispielsweise Benutzerdefinierte Images verwalten.

Die Mitgliedschaft in einer Administratorgruppe erteilt keine Berechtigung zum Herstellen einer Verbindung zu einem Desktop im Pool, sondern nur zum Erstellen und Verwalten der Pools. Ein Desktopbenutzer kann von jedem Pool in dem Compartment, für das er berechtigt ist, eine Verbindung zu einem Desktop herstellen. Um Benutzergruppen zu isolieren, z.B. um den Zugriff auf einen bestimmten Desktoptyp einzuschränken, müssen sich die Desktops in verschiedenen Compartments befinden (siehe Desktopbenutzerzugriff auf einen Desktoppool), und die Gruppen müssen je nach Bedarf Zugriff auf diese Compartments haben. Informationen zum Erstellen von Gruppen finden Sie unter Mit Gruppen arbeiten.

Eine Einführung in Policys finden Sie unter Erste Schritte mit Policys.

Informationen zum Erstellen einer Policy finden Sie unter Policy mit der Konsole erstellen.

  1. Policys für Desktopadministratoren hinzufügen:

    • Policy für Desktoppoolfamilie:
      Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>

      Beispiel:

      Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Standard
Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Extra
    • Policy für Leseressourcen:
      Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>

      Beispiele:

      Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Standard
Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Extra
    • Policy für virtuelle Netzwerkfamilie:
      Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>

      Beispiele:

      Allow group Desktop_Admins to use virtual-network-family in compartment VirtualCloudNetworks
    • Policy für Instanzimages:
      Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

      Beispiele:

      Allow group Desktop_Admins to use instance-images in compartment Images

  2. Policys für Desktopbenutzer hinzufügen:

    • Policy für alle Desktoppools in einem Compartment:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

      Beispiele:

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
Allow group IT_Users to use published-desktops in compartment OracleLinux8Extra
    • Policy für bestimmte Desktoppools in einem Compartment:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

      Verwenden Sie optional where-Anweisungen zusammen mit den folgenden Kontextvariablen, um einen oder mehrere Desktoppools nach Name oder OCID anzugeben:

      • target.desktoppool.name
      • target.desktoppool.id

      Beispiele:

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.name = '<pool-name>'
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where any {target.desktoppool.name = '<pool-name_1>', target.desktoppool.name = '<pool-name_2>'...}
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.id = '<pool-ocid>'

Netzwerk konfigurieren

Richten Sie das virtuelle Cloud-Netzwerk (VCN) für die Verbindung mit Secure Desktops ein.

Jeder Desktoppool erfordert Zugriff auf ein geeignetes Subnetz, um den Secure Desktops-Service mit den Desktopinstanzen zu verbinden. Dieses Subnetz kann privat oder öffentlich sein. Stellen Sie beim Erstellen des Subnetzes für Ihre Desktoppools sicher, dass die Anzahl der im Subnetz verfügbaren IP-Adressen mit der Anzahl der Desktops übereinstimmt, die Sie bereitstellen möchten. Beispiel: Ein Klasse-C-Subnetz kann nur 254 IPv4-Adressen bereitstellen.

Netzwerksicherheitsgruppen

Bei der Erstellung des Desktoppools erstellt Secure Desktops eine Netzwerksicherheitsgruppe (NSG) mit Sicherheitsregeln, die Netzwerkkonnektivität für den Service bereitstellen. Diese NSG, desktop_pool_instances_<ocid>_nsg, ist nur in der Compute-Instanz sichtbar, die mit dem Desktop verknüpft ist.

Wenn Sie zusätzliche NSGs verwenden möchten, müssen Sie die NSGs erstellen und beim Erstellen des Desktoppools anwenden. Siehe Desktoppoolparameter.

Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

Servicegateway

Um das Oracle Cloud Agent-Plug-in (für Windows- und Linux-Desktops erforderlich) zu verwenden, müssen Sie ein Servicegateway für Ihr VCN einrichten. Die Schritte umfassen das Erstellen des Servicegateways, das Aktualisieren des Routings für das Subnetz durch Hinzufügen einer Routingregel und das Hinzufügen einer Egress-Sicherheitsregel, um den gewünschten Traffic zuzulassen. Siehe Zugriff auf Oracle-Services: Servicegateway.

Weitere Informationen zum Oracle Cloud Agent-Plug-in finden Sie unter Oracle Cloud Agent.

Hinweis

Wenn Sie den Zugriff auf den privaten Desktop aktivieren möchten, finden Sie weitere Netzwerkanforderungen unter Zugriff auf den privaten Desktop aktivieren.

Bilder werden importiert...

Importieren Sie Images, und taggen Sie sie ordnungsgemäß, damit Secure Desktops sie als Images erkennt, die für einen Desktop-Pool verwendet werden sollen.

Images importieren in das Compartment, und Imagetags hinzufügen:

  • Erforderlich:

    oci:desktops:is_desktop_image true

    Mit diesem Tag kann der Service bestimmen, welche Bilder als Option angezeigt werden sollen, wenn Sie einen Desktoppool erstellen.

  • Optional:
    • oci:desktops:image_os_type [Oracle Linux | Windows]
    • oci:desktops:image_version <version>

      wobei <version> eine sinnvolle Referenz für Ihre Verwendung ist.

Weitere Informationen finden Sie unter Sichere Desktops-Tags.

Bilder in eine andere Region exportieren

Ein Image ist nur in einer einzelnen Region eines Mandanten vorhanden. Wenn Sie ein Image in einer anderen Region in Ihrem Mandanten verfügbar machen möchten, müssen Sie es exportieren und dann in die andere Region importieren.

  1. Erstellen Sie einen Objektspeicher-Bucket, um das Image zu speichern.
  2. Exportieren Sie das Image mit dem Ooci-Imageformat in den Speicher-Bucket.
  3. Nach Abschluss des Exports wechseln Sie zum Bucket, und erstellen Sie eine vorab authentifizierte Anforderung für das Image. Kopieren Sie die angegebene URL.
  4. Wechseln Sie zum empfangenden Mandanten und zur empfangenden Region. Importieren Sie das Image aus der Objektspeicher-URL mit dem Typ "OCI".
  5. Fügen Sie dem Image die angemessenen Tags hinzu, bevor Sie es als Desktopimage verwenden.
  6. Nachdem Sie das Image in alle erforderlichen Regionen importiert haben, können Sie das Imageobjekt aus dem Speicher-Bucket löschen.

Dedizierte Hosts für virtuelle Maschinen zuweisen

Wenn das Desktoppoolimage für Windows-Desktops vorgesehen ist, werden die Desktops im Pool standardmäßig auf dedizierten Hosts für virtuelle Maschinen (DVH) gehostet. Stellen Sie sicher, dass Sie genügend DVH-Ressourcen im Mandanten zuweisen, um die Windows-Desktops auszuführen.

Weitere Informationen finden Sie unter Dedizierte VM-Hosts.

Hinweis

  • Wenn Ihre Lizenzvereinbarung die Virtualisierung von Windows 10/11-Desktops in einer Cloud-Umgebung zulässt, können Sie das DVH-Provisioning deaktivieren, indem Sie beim Erstellen des Desktoppools das entsprechende Tag hinzufügen. Siehe Tags für sichere Desktops.
  • Secure Desktops weist keine DVHs für Linux-Desktoppools zu.

Sie müssen das Mandantenlimit für dedizierte Hosts für virtuelle Maschinen festlegen, damit alle Windows-Desktops auf dedizierten virtuellen Maschinen bereitgestellt werden können. Sie müssen die Hosts nicht starten. Secure Desktops führt dies nach Bedarf aus.

Geeignete Ausprägungen für Desktoppools verwenden

Verwenden Sie für Windows-Desktoppools, also Desktoppools, für die dedizierte Hosts für virtuelle Maschinen erforderlich sind, eine der folgenden bevorzugten Ausprägungen, da sie DVH-Ausprägungen für die Zuweisung von OCPUs und Arbeitsspeicher vorab zugeordnet sind:

  • Flexibel niedrig (2 OCPUs, 4 GB RAM)
  • Flex Medium (4 OCPUs, 8 GB RAM)
  • Flex High (8 OCPUs, 16 GB RAM)
Hinweis

  • Während der Erstellung eines Desktoppools berechnet Secure Desktops die erforderliche Anzahl dedizierter Hosts für virtuelle Maschinen, die einem Desktoppool zugewiesen werden müssen.
  • Wenn ein Desktoppool gelöscht wird, werden auch alle dedizierten Hosts für virtuelle Maschinen gelöscht, die diesem Desktoppool zugewiesen sind.

Alternativ kann der Administrator eine bestimmte VM-Ausprägung aus einem Set von VM-Ausprägungen auswählen, die vom Poolimage unterstützt werden. In diesem Fall weist Secure Desktops der VM-Ausprägung eine entsprechende DVH-Ausprägung zu.

In der folgenden Tabelle sind die unterstützten VM-Ausprägungen und die entsprechenden DVH-Ausprägungen aufgeführt:

VM-Ausprägung DVH-Form
VM.Standard2.2 DVH.Standard2.52: Flex niedrig
VM.Standard2.4 DVH.Standard2.52:Flex Mittel
VM.Standard2.8 DVH.Standard2.52:Flex hoch
VM.Standard3. Flexibel DVH.Standard3.64
VM.Standard.E3. Flexibel DVH.Standard.E3.128
VM.Standard.E4. Flexibel DVH.Standard.E4.128
VM.DenselIO2.8 DVH.DenseIO2.52:Flex niedrig
VM.DenselIO2.16 DVH.DenseIO2.52:Flex Medium
VM.DenselIO2.24 DVH.DenseIO2.52:Flex hoch
VM.Optimized3. Flexibel DVH.Optimiert3.36
VM.Standard.E2.2 DVH.Standard.E2.64:Flex niedrig
VM.Standard.E2.4 DVH.Standard.E2.64:Flex Mittel
VM.Standard.E2.8 DVH.Standard.E2.64:Flex hoch
Hinweis

Wenn eine nicht unterstützte VM-Ausprägung angegeben wird, kann der Pool nicht erstellt werden, und es wird ein Fehler zurückgegeben.

Wenn Sie eine bestimmte DVH-Ausprägung für Ihre Desktops angeben möchten, können Sie beim Erstellen des Desktoppools das entsprechende Tag hinzufügen. Siehe Tags für sichere Desktops.