Documentación de Oracle Cloud Infrastructure

Configuración del arrendamiento

Para configurar el arrendamiento para Secure Desktops, el administrador del arrendamiento debe configurar compartimentos, crear políticas para usuarios y grupos, y configurar las imágenes, el almacenamiento y la red disponibles para que las utilice el administrador de escritorio.

Nota

Oracle recomienda utilizar la pila de gestor de recursos (ORM) de Secure Desktops para simplificar el proceso de configuración del arrendamiento. La pila ORM ayuda con varias tareas de proceso para ayudar a garantizar que el arrendamiento se configure según las mejores prácticas.

  • Creación de políticas, grupos dinámicos y acceso de usuario para el servicio Secure Desktops.
  • Creación o incorporación de recursos de red existentes.
  • Importación de una imagen personalizada para su uso en un pool de escritorios seguros.

Descargue el archivo de configuración de pilaORM necesario desde Oracle Cloud Marketplace.

Para obtener instrucciones sobre el uso de la pila de ORM, consulte OCI Secure Desktops: How to Configure Tenancy Using ORM Stack (KB48885).

Configuración de compartimentos

Configure los compartimentos necesarios para Secure Desktops para controlar el acceso a los pools de escritorios.

  1. Trabaje con el administrador del escritorio para comprender qué compartimentos son necesarios.

    Utilice compartimentos para controlar el acceso a los escritorios. Por ejemplo, es probable que necesite un compartimento por pool de escritorios y habrá varios pools de escritorios. Consulte Understanding Desktop User Access to a Desktop Pool y Desktop Pools. También puede que necesite utilizar compartimentos para mantener otros recursos separados.

  2. Cree compartimentos como se describe en Aprenderá las mejores prácticas para configurar su arrendamiento.

Creación de políticas para el servicio

Defina un grupo dinámico y agregue políticas para permitir que el servicio Secure Desktops se ejecute dentro del arrendamiento.

  1. Agregue un grupo dinámico para pools de escritorios en los compartimentos que gestione. Consulte Gestión de grupos dinámicos para obtener instrucciones sobre la creación de grupos dinámicos. Para definir el grupo dinámico mediante compartimentos, siga estos pasos:
    1. Asigne al grupo dinámico un nombre que utilizará en las sentencias de política, por ejemplo DesktopPoolDynamicGroup.
    2. Seleccione la opción Coincidir con todas las reglas definidas a continuación para el grupo dinámico.
    3. Agregue la siguiente regla de coincidencia para identificar el recurso de agrupación de escritorio: 
      resource.type = 'desktoppool'
    4. Opcionalmente, agregue una regla de coincidencia adicional para identificar los compartimentos que contendrán pools de escritorio: 
      Any {resource.compartment.id = '<ocid>', resource.compartment.id = '<ocid>'}

      Donde <ocid> es el ID de recurso para cada compartimento. Por ejemplo:

      Any {resource.compartment.id = '<OCID-OracleLinux8Standard>', resource.compartment.id = '<OCID-OracleLinux8Extra>'}
  2. En el compartimento raíz, agregue las siguientes políticas para cada grupo dinámico que haya agregado. Esto permite a los pools de escritorios de los grupos dinámicos acceder a los recursos de nivel de arrendamiento necesarios.

    Para obtener una introducción a las políticas, consulte Introducción a las políticas.

    Para crear una política, consulte Creación de una política con la consola.

    En los siguientes ejemplos, los grupos dinámicos se evalúan como si pertenecieran al dominio de identidad por defecto. Si utiliza un dominio de identidad que no sea por defecto, debe incluir el nombre de dominio de identidad antes del grupo dinámico en la sentencia de política. Para obtener más información, incluidos ejemplos de sintaxis, consulte Sintaxis de políticas.

    Allow dynamic-group <dynamic-group> to {DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

    Donde <dynamic-group> es el nombre del grupo dinámico que especifica un juego de pools de escritorios.

  3. En el compartimento raíz o en el compartimento sobre los compartimentos del pool de escritorios que gestione, agregue las siguientes políticas para permitir que los pools de escritorios de cada grupo dinámico interactúen con los recursos necesarios.

    Para crear una política, consulte Creación de una política con la consola.

    Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
    Dónde:
    • <dynamic-group> es el nombre del grupo dinámico que especifica un juego de pools de escritorios.
    • <desktops-network-compartment> es el nombre del compartimento que contiene la VCN utilizada por los pools de escritorios. Si este compartimento no es un secundario de los compartimentos por encima de los compartimentos del pool de escritorios, la política se debe especificar en el compartimento raíz.
    • <image-compartment> es el nombre del compartimento que contiene las instancias de imagen de escritorio que utilizan los pools de escritorios. Si este compartimento no es un secundario de los compartimentos por encima de los compartimentos del pool de escritorios, la política se debe especificar en el compartimento raíz.
    • <desktop-compartment> es el nombre de cualquiera de las siguientes opciones:
      • Compartimento que contiene los pools de escritorio y los volúmenes y recursos de almacenamiento asociados.
      • Un elemento principal de los compartimentos que contiene pools de escritorios.
    Nota

    Si planea crear pools de escritorios privados, es posible que se necesiten políticas adicionales. Para obtener más información, consulte Enabling Private Desktop Access.

    En este ejemplo se muestran las políticas necesarias para dos escritorios en dos compartimentos independientes, OracleLinux8Standard y OracleLinux8Extra. Si todos los compartimentos de un principal común utilizan las mismas políticas, puede mostrarlas una vez mediante el compartimento principal para evitar la necesidad de duplicación.

    Allow dynamic-group DesktopPoolDynamicGroup to {DOMAIN_READ} in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect users in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect compartments in tenancy
Allow dynamic-group DesktopPoolDynamicGroup to use tag-namespaces in tenancy

Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment VirtualCloudNetworks
Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment Images

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Standard

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Extra

Creación de políticas para autorización de usuario

Configure el acceso de usuario adecuado para permitir a los administradores de escritorio gestionar agrupaciones y usuarios de escritorio para conectarse a escritorios.

Se necesitan dos tipos de grupos:

  • Grupos de administradores para los administradores de escritorio que utilizan el servicio para proporcionar escritorios.
  • Grupos de usuarios para los usuarios de escritorio que se conectan a los escritorios.
Estos grupos se suman al grupo de administradores de arrendamiento que se utiliza para otorgar permisos para crear compartimentos, imágenes, etc. Consulte, por ejemplo, Gestión de imágenes personalizadas.

La pertenencia a un grupo de administradores no otorga permiso para conectarse a un escritorio del pool, solo para crear y gestionar los pools. Un usuario de escritorio puede conectarse a un escritorio desde cada uno de los pools del compartimento al que tiene autorización para acceder. Para aislar grupos de usuarios, por ejemplo, para restringir el acceso a un tipo concreto de escritorio, los escritorios deben estar en compartimentos diferentes (consulte Descripción del Acceso de Usuario de Escritorio a un Pool de Escritorios) y los grupos deben tener acceso a esos compartimentos según corresponda. Para obtener información sobre la creación de grupos, consulte Trabajar con grupos.

Para obtener una introducción a las políticas, consulte Introducción a las políticas.

Para crear una política, consulte Creación de una política con la consola.

  1. Agregar políticas para administradores de escritorio:

    • Política para la familia de pools de escritorios:
      Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>

      Por ejemplo:

      Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Standard
Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Extra
    • Política para recursos de lectura:
      Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>

      Por ejemplo:

      Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Standard
Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Extra
    • Política para la familia de redes virtuales:
      Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>

      Por ejemplo:

      Allow group Desktop_Admins to use virtual-network-family in compartment VirtualCloudNetworks
    • Política para imágenes de instancia:
      Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

      Por ejemplo:

      Allow group Desktop_Admins to use instance-images in compartment Images

  2. Agregue políticas para los usuarios de escritorio:

    • Política para todos los pools de escritorio de un compartimento:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

      Por ejemplo:

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
Allow group IT_Users to use published-desktops in compartment OracleLinux8Extra
    • Política para pools de escritorios específicos en un compartimento:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

      Opcionalmente, utilice sentencias where junto con las siguientes variables de contexto para especificar uno o más pools de escritorio por nombre u OCID:

      • target.desktoppool.name
      • target.desktoppool.id

      Por ejemplo:

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.name = '<pool-name>'
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where any {target.desktoppool.name = '<pool-name_1>', target.desktoppool.name = '<pool-name_2>'...}
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.id = '<pool-ocid>'

Configuración de la red

Configure la red virtual en la nube (VCN) para conectarse a escritorios seguros.

Cada pool de escritorios necesita acceso a una subred adecuada para conectar el servicio Secure Desktops a las instancias de escritorio. Esta subred puede ser privada o pública. Al crear la subred para los pools de escritorios, asegúrese de que el número de direcciones IP disponibles en la subred coincida con el número de escritorios que desea aprovisionar. Por ejemplo, una subred de clase C solo puede proporcionar 254 direcciones IPv4.

Grupos de seguridad de red

Al crear un pool de escritorios, Secure Desktops crea un grupo de seguridad de red (NSG) con reglas de seguridad que proporcionan conectividad de red para el servicio. Este NSG, desktop_pool_instances_<ocid>_nsg, solo está visible desde la instancia informática asociada al escritorio.

Si decide utilizar NSG adicionales, debe crear los NSG y aplicarlos al crear el pool de escritorios. Consulte Creación de un Pool de Escritorios.

Consulte Grupos de seguridad de red para obtener más información.

Gateway de servicio

Para utilizar el plugin de Oracle Cloud Agent (necesario para escritorios de Windows y Linux), debe configurar un gateway de servicio para la VCN. Los pasos incluyen la creación del gateway de servicio, la actualización del enrutamiento para la subred mediante la adición de una regla de enrutamiento y la adición de una regla de seguridad de salida para permitir el tráfico deseado. Consulte Acceso a servicios de Oracle: gateway de servicio.

Para obtener más información sobre el plugin de Oracle Cloud Agent, consulte Oracle Cloud Agent.

Nota

Si desea activar el acceso de escritorio privado, consulte Activación del acceso de escritorio privado para conocer los requisitos de red adicionales.

Importando imágenes

Importar imágenes y etiquetarlas correctamente para que Secure Desktops las reconozca como imágenes para utilizarlas en un pool de escritorios.

Importar imágenes en el compartimento y agregar etiquetas de imagen:

  • Necesario:

    oci:desktops:is_desktop_image true

    Esta etiqueta permite al servicio determinar qué imágenes se mostrarán como opción al crear un pool de escritorios.

  • Opcional:
    • oci:desktops:image_os_type [Oracle Linux | Windows]
    • oci:desktops:image_version <version>

      donde <version> es una referencia significativa para su uso.

Para obtener más información, consulte Etiquetas de escritorios seguros.

Exportación de imágenes a otra región

Una imagen solo existe dentro de una única región de un arrendamiento. Si desea que una imagen esté disponible en otra región de su arrendamiento, debe exportar la imagen y, a continuación, importarla a la otra región.

  1. Cree un cubo de almacenamiento de objetos para almacenar la imagen.
  2. Exportar la imagen al cubo de almacenamiento con el formato de imagen .oci.
  3. Una vez finalizada la exportación, cambie al cubo y cree una solicitud autenticada previamente para la imagen. Copie la URL proporcionada.
  4. Cambie al arrendamiento y la región de recepción. Importe la imagen desde la URL de almacenamiento de objetos mediante el tipo OCI.
  5. Agregue las etiquetas adecuadas a la imagen antes de utilizarla como imagen de escritorio.
  6. Después de importar la imagen a todas las regiones necesarias, puede suprimir el objeto de imagen del bloque de almacenamiento.

Asignación de hosts de máquina virtuales dedicados

Si la imagen del pool de escritorios es para escritorios de Windows, los escritorios del pool se alojarán en hosts de máquina virtual dedicados (DVH) por defecto. Asegúrese de asignar suficientes recursos de DVH en el arrendamiento para ejecutar los escritorios de Windows.

Para obtener más información, consulte Hosts de máquinas virtuales dedicados.

Nota

  • Si el acuerdo de licencia permite virtualizar escritorios de Windows 10/11 en un entorno de nube, puede desactivar el aprovisionamiento de DVH agregando la etiqueta adecuada al crear el pool de escritorios. Consulte Etiquetas de escritorios seguros.
  • Secure Desktops no asigna DVH para agrupaciones de escritorio de Linux.

Debe definir el límite de arrendamiento para los hosts de máquina virtual dedicados para permitir que todos los escritorios de Windows se aprovisionen en máquinas virtuales dedicadas. No es necesario que inicie los hosts, Secure Desktops lo hace según sea necesario.

Uso de unidades adecuadas para las agrupaciones de escritorio

Para los pools de escritorios de Windows, es decir, los pools de escritorios que necesitan hosts de máquinas virtuales dedicados, utilice una de las siguientes unidades preferidas, ya que están asignadas previamente a las unidades de DVH para la asignación de OCPU y memoria:

  • Flexible y bajo (2 OCPU, 4 GB de RAM)
  • Flex Medium (4 OCPU, 8 GB de RAM)
  • Flexible alto (8 OCPU, 16 GB de RAM)
Nota

  • Durante la creación del pool de escritorios, Secure Desktops calcula el número necesario de hosts de máquinas virtuales dedicados que se van a asignar a un pool de escritorios.
  • Cuando se suprime un pool de escritorios, también se suprimen todos los hosts de máquinas virtuales dedicados asignados para ese pool de escritorios.

También puede elegir una unidad de máquina virtual específica entre un conjunto de unidades de máquina virtual soportadas por la imagen del pool. En este caso, Secure Desktops asigna una unidad de DVH correspondiente para alojar la unidad de VM.

En la siguiente tabla, se muestran las unidades de máquina virtual soportadas y sus correspondientes unidades de DVH:

Unidad de VM Unidad de DVH
VM.Standard2.2 DVH.Standard2.52: Flex bajo
VM.Standard2.4 DVH.Standard2.52: Flex Medium
VM.Standard2.8 DVH.Standard2.52: Flex Alto
VM.Standard3.Flex DVH.Standard3.64
VM.Standard.E3.Flex DVH.Standard.E3.128
VM.Standard.E4.Flex DVH.Standard.E4.128
VM.DenselIO2.8 DVH.DenseIO2.52:Flex Low
VM.DenselIO2.16 DVH.DenseIO2.52:Media flexible
VM.DenselIO2.24 DVH.DenseIO2.52:Flex High
VM.Optimized3. Flexibilidad DVH.Optimizado3.36
VM.Standard.E2.2 DVH.Standard.E2.64: Flexión baja
VM.Standard.E2.4 DVH.Standard.E2.64: Flex Medium
VM.Standard.E2.8 DVH.Standard.E2.64: Flex High
Nota

Si se especifica una unidad de VM no soportada, la creación del pool falla y se devuelve un error.

Si desea especificar una unidad de DVH específica para los escritorios, puede agregar la etiqueta adecuada al crear el pool de escritorios. Consulte Etiquetas de escritorios seguros.