Oracle Cloud Infrastructure-Dokumentation

Mandanten einrichten

Um den Mandanten für Secure Desktops einzurichten, muss der Mandantenadministrator Compartments einrichten, Policys für Benutzer und Gruppen erstellen und die verfügbaren Images, den Speicher und das Netzwerk konfigurieren, die der Desktopadministrator verwenden kann.

Hinweis

Oracle empfiehlt, den Secure Desktops Resource Manager-(ORM-)Stack zu verwenden, um die Einrichtung des Mandanten zu vereinfachen. Der ORM-Stack unterstützt mehrere Prozessaufgaben, um sicherzustellen, dass der Mandant gemäß den Best Practices eingerichtet wird.

  • Policys, dynamische Gruppen und Benutzerzugriff für den Secure Desktops-Service erstellen
  • Erstellen oder Onboarding vorhandener Netzwerkressourcen.
  • Importieren eines benutzerdefinierten Images zur Verwendung in einem Secure Desktops-Pool.

Laden Sie die erforderliche ORM-Stacksetupdatei aus dem Oracle Cloud Marketplace herunter.

Anweisungen zur Verwendung des ORM-Stacks finden Sie unter OCI Secure Desktops: So konfigurieren Sie Mandanten mit ORM-Stack (KB48885).

Compartments einrichten

Richten Sie die Compartments ein, die von Secure Desktops benötigt werden, um den Zugriff auf Desktoppools zu kontrollieren.

  1. Ermitteln Sie mit dem Desktopadministrator, welche Compartments erforderlich sind.

    Mit Compartments können Sie den Zugriff auf Desktops steuern. Beispiel: Sie benötigen wahrscheinlich ein Compartment pro Desktoppool, und es werden mehrere Desktoppools vorhanden sein. Siehe Understanding Desktop User Access to a Desktop Pool und Desktop Pools. Möglicherweise müssen Sie auch Compartments verwenden, um andere Ressourcen getrennt zu halten.

  2. Erstellen Sie Compartments, wie unter Best Practices zum Einrichten Ihres Mandanten kennenlernen beschrieben.

Policys für den Service erstellen

Definieren Sie eine dynamische Gruppe, und fügen Sie Policys hinzu, damit der Secure Desktops-Service innerhalb des Mandanten ausgeführt werden kann.

  1. Fügen Sie eine dynamische Gruppe für Desktoppools in den von Ihnen verwalteten Compartments hinzu. Anweisungen zum Erstellen dynamischer Gruppen finden Sie unter Dynamische Gruppen verwalten. So definieren Sie die dynamische Gruppe mit Compartments:
    1. Geben Sie der dynamischen Gruppe einen Namen, den Sie in den Policy-Anweisungen verwenden, z.B. DesktopPoolDynamicGroup.
    2. Wählen Sie die Option Alle unten definierten Regeln abgleichen für die dynamische Gruppe.
    3. Fügen Sie die folgende Vergleichsregel hinzu, um die Desktoppoolressource zu identifizieren: 
      resource.type = 'desktoppool'
    4. Fügen Sie optional eine zusätzliche Vergleichsregel hinzu, um Compartments zu identifizieren, die Desktoppools enthalten: 
      Any {resource.compartment.id = '<ocid>', resource.compartment.id = '<ocid>'}

      Dabei ist <ocid> die Ressourcen-ID für jedes Compartment. Beispiel:

      Any {resource.compartment.id = '<OCID-OracleLinux8Standard>', resource.compartment.id = '<OCID-OracleLinux8Extra>'}
  2. Fügen Sie im Root Compartment die folgenden Policys für jede hinzugefügte dynamische Gruppe hinzu. Dadurch können die Desktoppools in den dynamischen Gruppen auf die erforderlichen Ressourcen auf Mandantenebene zugreifen.

    Eine Einführung in Policys finden Sie unter Erste Schritte mit Policys.

    Informationen zum Erstellen einer Policy finden Sie unter Policy mit der Konsole erstellen.

    In den folgenden Beispielen werden dynamische Gruppen so ausgewertet, als ob sie zur Standardidentitätsdomain gehören. Wenn Sie eine Nicht-Standardidentitätsdomain verwenden, müssen Sie den Identitätsdomainnamen vor der dynamischen Gruppe in die Policy-Anweisung aufnehmen. Weitere Informationen, einschließlich Syntaxbeispielen, finden Sie unter Policy-Syntax.

    Allow dynamic-group <dynamic-group> to {DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

    Dabei ist <dynamic-group> der Name der dynamischen Gruppe, die eine Gruppe von Desktoppools angibt.

  3. Fügen Sie im Root Compartment oder im Compartment über den von Ihnen verwalteten Desktoppool-Compartments die folgenden Policys hinzu, damit die Desktoppools in jeder dynamischen Gruppe mit den erforderlichen Ressourcen interagieren können.

    Informationen zum Erstellen einer Policy finden Sie unter Policy mit der Konsole erstellen.

    Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
    Dabei gilt:
    • <dynamic-group> ist der Name der dynamischen Gruppe, die eine Gruppe von Desktoppools angibt.
    • <desktops-network-compartment> ist der Name des Compartments, das das von den Desktoppools verwendete VCN enthält. Wenn dieses Compartment kein untergeordnetes Compartment der Compartments über den Desktoppool-Compartments ist, muss die Policy im Root Compartment angegeben werden.
    • <image-compartment> ist der Name des Compartments, das Desktopimageinstanzen enthält, die von den Desktoppools verwendet werden. Wenn dieses Compartment kein untergeordnetes Compartment der Compartments über den Desktoppool-Compartments ist, muss die Policy im Root Compartment angegeben werden.
    • <desktop-compartment> ist der Name einer der folgenden Optionen:
      • Das Compartment mit Desktoppools und zugehörigen Speicherdatenträgern und Ressourcen.
      • Ein übergeordnetes Element der Compartments mit Desktoppools.
    Hinweis

    Wenn Sie private Desktoppools erstellen möchten, sind möglicherweise zusätzliche Richtlinien erforderlich. Weitere Informationen finden Sie unter Privaten Desktopzugriff aktivieren.

    Dieses Beispiel zeigt die Policys, die für zwei Desktops in zwei unabhängigen Compartments, OracleLinux8Standard und OracleLinux8Extra, erforderlich sind. Wenn alle Compartments unter einem gemeinsamen übergeordneten Compartment dieselben Policys verwenden, können Sie diese einmal mit dem übergeordneten Compartment auflisten, um eine Duplizierung zu vermeiden.

    Allow dynamic-group DesktopPoolDynamicGroup to {DOMAIN_READ} in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect users in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect compartments in tenancy
Allow dynamic-group DesktopPoolDynamicGroup to use tag-namespaces in tenancy

Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment VirtualCloudNetworks
Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment Images

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Standard

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Extra

Policys für Benutzerautorisierung erstellen

Richten Sie den entsprechenden Benutzerzugriff ein, damit Desktopadministratoren Pools und Desktopbenutzer verwalten können, um eine Verbindung zu Desktops herzustellen.

Es sind zwei Typen von Gruppen erforderlich:

  • Administratorgruppen für die Desktopadministratoren, die den Service zur Bereitstellung von Desktops verwenden.
  • Benutzergruppen für Desktopbenutzer, die eine Verbindung zu den Desktops herstellen.
Diese Gruppen werden zusätzlich zu der Mandantenadministratorgruppe verwendet, mit der Berechtigungen zum Erstellen von Compartments, Images usw. erteilt werden. Siehe beispielsweise Benutzerdefinierte Images verwalten.

Die Mitgliedschaft in einer Administratorgruppe erteilt keine Berechtigung zum Herstellen einer Verbindung zu einem Desktop im Pool, nur zum Erstellen und Verwalten der Pools. Ein Desktopbenutzer kann über jeden Pool in dem Compartment, auf das er zugreifen darf, eine Verbindung zu einem Desktop herstellen. Um Benutzergruppen zu isolieren, z.B. um den Zugriff auf einen bestimmten Desktoptyp einzuschränken, müssen sich die Desktops in verschiedenen Compartments befinden (siehe Desktopbenutzerzugriff auf einen Desktoppool), und die Gruppen müssen gegebenenfalls Zugriff auf diese Compartments haben. Informationen zum Erstellen von Gruppen finden Sie unter Mit Gruppen arbeiten.

Eine Einführung in Policys finden Sie unter Erste Schritte mit Policys.

Informationen zum Erstellen einer Policy finden Sie unter Policy mit der Konsole erstellen.

  1. Policys für Desktopadministratoren hinzufügen:

    • Richtlinie für Desktoppoolfamilie:
      Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>

      Beispiel:

      Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Standard
Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Extra
    • Policy für Leseressourcen:
      Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>

      Beispiel:

      Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Standard
Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Extra
    • Policy für virtuelle Netzwerkfamilie:
      Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>

      Beispiel:

      Allow group Desktop_Admins to use virtual-network-family in compartment VirtualCloudNetworks
    • Policy für Instanzimages:
      Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

      Beispiel:

      Allow group Desktop_Admins to use instance-images in compartment Images

  2. Policys für Desktopbenutzer hinzufügen:

    • Policy für alle Desktoppools in einem Compartment:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

      Beispiel:

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
Allow group IT_Users to use published-desktops in compartment OracleLinux8Extra
    • Policy für bestimmte Desktoppools in einem Compartment:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

      Verwenden Sie optional where-Anweisungen zusammen mit den folgenden Kontextvariablen, um einen oder mehrere Desktoppools nach Name oder OCID anzugeben:

      • target.desktoppool.name
      • target.desktoppool.id

      Beispiel:

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.name = '<pool-name>'
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where any {target.desktoppool.name = '<pool-name_1>', target.desktoppool.name = '<pool-name_2>'...}
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.id = '<pool-ocid>'

Netzwerk konfigurieren

Richten Sie das virtuelle Cloud-Netzwerk (VCN) ein, um eine Verbindung zu Secure Desktops herzustellen.

Jeder Desktoppool erfordert Zugriff auf ein geeignetes Subnetz, um den Secure Desktops-Service mit den Desktopinstanzen zu verbinden. Dieses Subnetz kann privat oder öffentlich sein. Stellen Sie beim Erstellen des Subnetzes für Ihre Desktoppools sicher, dass die Anzahl der im Subnetz verfügbaren IP-Adressen mit der Anzahl der Desktops übereinstimmt, die Sie bereitstellen möchten. Beispiel: Ein Subnetz der Klasse C kann nur 254 IPv4-Adressen angeben.

Netzwerksicherheitsgruppen

Bei der Erstellung eines Desktoppools erstellt Secure Desktops eine Netzwerksicherheitsgruppe (NSG) mit Sicherheitsregeln, die Netzwerkkonnektivität für den Service bereitstellen. Diese NSG, desktop_pool_instances_<ocid>_nsg, wird nur von der Compute-Instanz angezeigt, die mit dem Desktop verknüpft ist.

Wenn Sie zusätzliche NSGs verwenden möchten, müssen Sie die NSGs erstellen und beim Erstellen des Desktoppools anwenden. Siehe Desktoppool erstellen.

Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

Servicegateway

Um das Oracle Cloud Agent-Plug-in (für Windows- und Linux-Desktops erforderlich) zu verwenden, müssen Sie ein Servicegateway für Ihr VCN einrichten. Die Schritte umfassen das Erstellen des Servicegateways, das Aktualisieren des Routings für das Subnetz durch Hinzufügen einer Routingregel und das Hinzufügen einer Egress-Sicherheitsregel, um den gewünschten Traffic zuzulassen. Siehe Zugriff auf Oracle-Services: Servicegateway.

Weitere Informationen zum Oracle Cloud Agent-Plug-in finden Sie unter Oracle Cloud Agent.

Hinweis

Wenn Sie den privaten Desktopzugriff aktivieren möchten, finden Sie weitere Netzwerkanforderungen unter Privaten Desktopzugriff aktivieren.

Bilder werden importiert

Importieren Sie Images, und taggen Sie sie ordnungsgemäß, damit Secure Desktops sie als Images erkennt, die für einen Desktoppool verwendet werden sollen.

Images importieren in das Compartment und Imagetags hinzufügen:

  • Erforderlich:

    oci:desktops:is_desktop_image true

    Mit diesem Tag kann der Service bestimmen, welche Images beim Erstellen eines Desktoppools als Option angezeigt werden sollen.

  • Optional:
    • oci:desktops:image_os_type [Oracle Linux | Windows]
    • oci:desktops:image_version <version>

      wobei <version> eine sinnvolle Referenz für Ihre Verwendung ist.

Weitere Informationen finden Sie unter Secure Desktops Tags.

Bilder in eine andere Region exportieren

Ein Image ist nur in einer einzelnen Region eines Mandanten vorhanden. Wenn Sie ein Image in einer anderen Region in Ihrem Mandanten verfügbar machen möchten, müssen Sie das Image exportieren und dann in die andere Region importieren.

  1. Erstellen Sie einen Objektspeicher-Bucket, um das Image zu speichern.
  2. Exportieren Sie das Image mit dem .oci-Imageformat in den Speicher-Bucket.
  3. Wenn der Export abgeschlossen ist, wechseln Sie zum Bucket, und erstellen Sie eine vorab authentifizierte Anforderung für das Image. Kopieren Sie die angegebene URL.
  4. Wechseln Sie zum empfangenden Mandanten und zur empfangenden Region. Importieren Sie das Image mit dem Typ "OCI" aus der Objektspeicher-URL.
  5. Fügen Sie dem Image die geeigneten Tags hinzu, bevor Sie es als Desktopimage verwenden.
  6. Nachdem Sie das Image in alle erforderlichen Regionen importiert haben, können Sie das Imageobjekt aus dem Speicher-Bucket löschen.

Dedizierte VM-Hosts zuweisen

Wenn das Desktoppoolabbild für Windows-Desktops verwendet wird, werden die Desktops im Pool standardmäßig auf dedizierten Hosts für virtuelle Maschinen (DVH) gehostet. Stellen Sie sicher, dass Sie ausreichend DVH-Ressourcen im Mandanten zuweisen, um die Windows-Desktops auszuführen.

Weitere Informationen finden Sie unter Dedizierte Hosts für virtuelle Maschinen.

Hinweis

  • Wenn Ihre Lizenzvereinbarung die Virtualisierung von Windows 10/11-Desktops in einer Cloud-Umgebung zulässt, können Sie das DVH-Provisioning deaktivieren, indem Sie beim Erstellen des Desktoppools das entsprechende Tag hinzufügen. Siehe Secure Desktops-Tags.
  • Secure Desktops weist keine DVHs für Linux-Desktoppools zu.

Sie müssen das Mandantenlimit für dedizierte Hosts für virtuelle Maschinen festlegen, damit alle Windows-Desktops auf dedizierten virtuellen Maschinen bereitgestellt werden können. Sie müssen die Hosts nicht starten. Secure Desktops führt dies nach Bedarf aus.

Geeignete Ausprägungen für Desktoppools verwenden

Verwenden Sie für Windows-Desktoppools, d.h. Desktoppools, die dedizierte Hosts für virtuelle Maschinen erfordern, eine der folgenden bevorzugten Ausprägungen, da sie zur Zuweisung von OCPUs und Arbeitsspeicher vorab DVH-Ausprägungen zugeordnet werden:

  • Flexibel niedrig (2 OCPUs, 4 GB RAM)
  • Flexibel (Mittel) (4 OCPUs, 8 GB RAM)
  • Flexibel hoch (8 OCPUs, 16 GB RAM)
Hinweis

  • Während der Erstellung eines Desktoppools berechnet Secure Desktops die erforderliche Anzahl dedizierter VM-Hosts, die einem Desktoppool zugewiesen werden müssen.
  • Wenn ein Desktoppool gelöscht wird, werden alle dedizierten Hosts für virtuelle Maschinen, die diesem Desktoppool zugewiesen sind, ebenfalls gelöscht.

Alternativ kann der Administrator eine bestimmte VM-Ausprägung aus einem Set von VM-Ausprägungen auswählen, die vom Poolimage unterstützt werden. In diesem Fall weist Secure Desktops eine entsprechende DVH-Ausprägung zum Hosten der VM-Ausprägung zu.

In der folgenden Tabelle werden unterstützte VM-Ausprägungen und die entsprechenden DVH-Ausprägungen aufgeführt:

VM-Ausprägung DVH-Form
VM.Standard2.2 DVH.Standard2.52: Flex niedrig
VM.Standard2.4 DVH.Standard2.52: Flex mittel
VM.Standard2.8 DVH.Standard2.52: Flex hoch
VM.Standard3.Flex DVH.Standard3.64
VM.Standard.E3.Flex DVH.Standard.E3.128
VM.Standard.E4.Flex DVH.Standard.E4.128
VM.DenselIO2.8 DVH.DenseIO2.52: Flex niedrig
VM.DenselIO2.16 DVH.DenseIO2.52: Flex mittel
VM.DenselIO2.24 DVH.DenseIO2.52: Flex hoch
VM.Optimized3. FlexFeld DVH.Optimiert3.36
VM.Standard.E2.2 DVH.Standard.E2.64: Flex niedrig
VM.Standard.E2.4 DVH.Standard.E2.64: Flex-Mittel
VM.Standard.E2.8 DVH.Standard.E2.64: Flex hoch
Hinweis

Wenn eine nicht unterstützte VM-Ausprägung angegeben wird, kann der Pool nicht erstellt werden, und es wird ein Fehler zurückgegeben.

Wenn Sie eine bestimmte DVH-Ausprägung für Ihre Desktops angeben möchten, können Sie beim Erstellen des Desktoppools das entsprechende Tag hinzufügen. Siehe Secure Desktops-Tags.