Documentación de Oracle Cloud Infrastructure

Configuración del arrendamiento

Para configurar el arrendamiento para Secure Desktops, el administrador del arrendamiento debe configurar compartimentos, crear políticas para usuarios y grupos, y configurar las imágenes, el almacenamiento y la red disponibles para que los utilice el administrador de escritorio.

Nota

Oracle recomienda utilizar la pila de Secure Desktops Resource Manager (ORM) para simplificar el proceso de configuración del arrendamiento. La pila de ORM ayuda con varias tareas de proceso para garantizar que el arrendamiento esté configurado de acuerdo con las mejores prácticas.

  • Creación de políticas, grupos dinámicos y acceso de usuario para el servicio Secure Desktops.
  • Creación o vinculación de recursos de red existentes.
  • Importación de una imagen personalizada para su uso en un pool de escritorios seguros.

Descargue el archivo de configuración de pila deORM necesario desde Oracle Cloud Marketplace.

Para obtener instrucciones sobre el uso de la pila de ORM, consulte OCI Secure Desktops: Cómo configurar el arrendamiento mediante la pila de ORM (KB48885).

Configuración de compartimentos

Configure los compartimentos requeridos por Secure Desktops para controlar el acceso a los pools de escritorios.

  1. Trabaje con el administrador de escritorio para saber qué compartimentos son necesarios.

    Utilice compartimentos para controlar el acceso a los escritorios. Por ejemplo, es probable que necesite un compartimento por pool de escritorios y que haya varios pools de escritorios. Consulte Understanding Desktop User Access to a Desktop Pool y Desktop Pools. También puede que necesite utilizar compartimentos para mantener separados otros recursos.

  2. Cree compartimentos como se describe en Aprender las mejores prácticas para configurar el arrendamiento.

Creación de políticas para el servicio

Defina un grupo dinámico y agregue políticas para permitir que el servicio Secure Desktops se ejecute en el arrendamiento.

  1. Agregue un grupo dinámico para pools de escritorio en los compartimentos que gestione. Consulte Gestión de grupos dinámicos para obtener instrucciones sobre la creación de grupos dinámicos. Para definir el grupo dinámico mediante compartimentos, siga estos pasos:
    1. Asigne al grupo dinámico un nombre que utilizará en las sentencias de política, por ejemplo DesktopPoolDynamicGroup.
    2. Seleccione la opción Coincidir con todas las reglas definidas a continuación para el grupo dinámico.
    3. Agregue la siguiente regla de coincidencia para identificar el recurso de agrupación de escritorio: 
      resource.type = 'desktoppool'
    4. Opcionalmente, agregue una regla de coincidencia adicional para identificar los compartimentos que contendrán pools de escritorios: 
      Any {resource.compartment.id = '<ocid>', resource.compartment.id = '<ocid>'}

      Donde <ocid> es el ID de recurso para cada compartimento. Por ejemplo:

      Any {resource.compartment.id = '<OCID-OracleLinux8Standard>', resource.compartment.id = '<OCID-OracleLinux8Extra>'}
  2. En el compartimento raíz, agregue las siguientes políticas para cada grupo dinámico que haya agregado. Esto permite a los pools de escritorios de los grupos dinámicos acceder a los recursos de nivel de arrendamiento necesarios.

    Para obtener una introducción a las políticas, consulte Getting Started with Policies.

    Para crear una política, consulte Creación de una política con la consola.

    En los siguientes ejemplos, los grupos dinámicos se evalúan como si pertenecieran al dominio de identidad por defecto. Si utiliza un dominio de identidad no por defecto, debe incluir el nombre del dominio de identidad antes del grupo dinámico en la sentencia de política. Para obtener más información, incluidos ejemplos de sintaxis, consulte Sintaxis de políticas.

    Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

    Donde <dynamic-group> es el nombre del grupo dinámico que especifica un juego de agrupaciones de escritorio.

  3. En el compartimento raíz o el compartimento situado por encima de los compartimentos de pool de escritorios que gestione, agregue las siguientes políticas para permitir que los pools de escritorios de cada grupo dinámico interactúen con los recursos necesarios.

    Para crear una política, consulte Creación de una política con la consola.

    Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
    Donde:
    • <dynamic-group> es el nombre del grupo dinámico que especifica un juego de pools de escritorio.
    • <desktops-network-compartment> es el nombre del compartimento que contiene la VCN utilizada por los pools de escritorio. Si este compartimento no es un secundario de los compartimentos por encima de los compartimentos del pool de escritorios, la política se debe especificar en el compartimento raíz.
    • <image-compartment> es el nombre del compartimento que contiene instancias de imagen de escritorio que utilizan los pools de escritorios. Si este compartimento no es un secundario de los compartimentos por encima de los compartimentos del pool de escritorios, la política se debe especificar en el compartimento raíz.
    • <desktop-compartment> es el nombre de:
      • Compartimento que contiene pools de escritorios y los volúmenes y recursos de almacenamiento asociados.
      • Principal de los compartimentos que contienen pools de escritorio.
    Nota

    Si planea crear pools de escritorio privados, es posible que se necesiten políticas adicionales. Para obtener más información, consulte Enabling Private Desktop Access.

    En este ejemplo se muestran las políticas necesarias para dos escritorios en dos compartimentos independientes, OracleLinux8Standard y OracleLinux8Extra. Si todos los compartimentos de un principal común utilizan las mismas políticas, puede mostrarlas una vez mediante el compartimento principal para evitar la necesidad de duplicación.

    Allow dynamic-group DesktopPoolDynamicGroup to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect users in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect compartments in tenancy
Allow dynamic-group DesktopPoolDynamicGroup to use tag-namespaces in tenancy

Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment VirtualCloudNetworks
Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment Images

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Standard

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Extra

Creación de Políticas para la Autorización de Usuarios

Configure el acceso de usuario adecuado para permitir que los administradores de escritorio gestionen agrupaciones y usuarios de escritorio para conectarse a escritorios.

Se necesitan dos tipos de grupos:

  • Grupos de administradores para los administradores de escritorio que utilizan el servicio para proporcionar escritorios.
  • Grupos de usuarios para los usuarios de escritorio que se conectan a los escritorios.
Estos grupos se suman al grupo de administradores de arrendamiento utilizado para otorgar permisos para crear compartimentos, imágenes, etc. Consulte, por ejemplo, Gestión de imágenes personalizadas.

La pertenencia a un grupo de administradores no otorga permiso para conectarse a un escritorio de la agrupación, solo para crear y gestionar las agrupaciones. Un usuario de escritorio puede conectarse a un escritorio desde cada uno de los pools del compartimento al que está autorizado el acceso. Para aislar grupos de usuarios, por ejemplo, para restringir el acceso a un tipo concreto de escritorio, los escritorios deben estar en diferentes compartimentos (consulte Descripción del Acceso de Usuario de Escritorio a un Pool de Escritorios) y los grupos deben tener acceso a esos compartimentos según corresponda. Para obtener información sobre la creación de grupos, consulte Trabajar con grupos.

Para obtener una introducción a las políticas, consulte Getting Started with Policies.

Para crear una política, consulte Creación de una política con la consola.

  1. Agregar políticas para administradores de escritorio:

    • Política para la familia de pools de escritorios:
      Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>

      Por ejemplo:

      Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Standard
Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Extra
    • Política para recursos de lectura:
      Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>

      Por ejemplo:

      Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Standard
Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Extra
    • Política para la familia de red virtual:
      Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>

      Por ejemplo:

      Allow group Desktop_Admins to use virtual-network-family in compartment VirtualCloudNetworks
    • Política para imágenes de instancia:
      Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

      Por ejemplo:

      Allow group Desktop_Admins to use instance-images in compartment Images

  2. Agregar políticas para usuarios de escritorio:

    • Política para todos los pools de escritorio de un compartimento:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

      Por ejemplo:

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
Allow group IT_Users to use published-desktops in compartment OracleLinux8Extra
    • Política para pools de escritorio específicos dentro de un compartimento:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

      Opcionalmente, utilice sentencias where junto con las siguientes variables de contexto para especificar uno o más pools de escritorio por nombre u OCID:

      • target.desktoppool.name
      • target.desktoppool.id

      Por ejemplo:

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.name = '<pool-name>'
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where any {target.desktoppool.name = '<pool-name_1>', target.desktoppool.name = '<pool-name_2>'...}
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.id = '<pool-ocid>'

Configuración de la Red

Configure la red virtual en la nube (VCN) para conectarse a escritorios seguros.

Cada pool de escritorios necesita acceso a una subred adecuada para conectar el servicio de escritorios seguros a las instancias de escritorio. Esta subred puede ser privada o pública. Al crear la subred para los pools de escritorios, asegúrese de que el número de direcciones IP disponibles en la subred coincida con el número de escritorios que desea aprovisionar. Por ejemplo, una subred de clase C solo puede proporcionar 254 direcciones IPv4.

Grupos de seguridad de red

En la creación de pools de escritorios, Secure Desktops crea un grupo de seguridad de red (NSG) con reglas de seguridad que proporcionan conectividad de red para el servicio. Este NSG, desktop_pool_instances_<ocid>_nsg, solo está visible desde la instancia informática asociada al escritorio.

Si decide utilizar NSG adicionales, debe crear los NSG y aplicarlos al crear el pool de escritorios. Consulte Desktop Pool Parameters.

Consulte Grupos de seguridad de red para obtener más información.

Gateway de servicio

Para utilizar el plugin de Oracle Cloud Agent (necesario para escritorios de Windows y Linux), debe configurar un gateway de servicio para la VCN. Los pasos incluyen la creación del gateway de servicio, la actualización del enrutamiento para la subred mediante la adición de una regla de enrutamiento y la adición de una regla de seguridad de salida para permitir el tráfico deseado. Consulte Acceso a servicios de Oracle: gateway de servicio.

Para obtener más información sobre el plugin de Oracle Cloud Agent, consulte Oracle Cloud Agent.

Nota

Si desea activar el acceso de escritorio privado, consulte Activación del acceso de escritorio privado para conocer los requisitos de red adicionales.

Importación de imágenes

Importar imágenes y etiquetarlas correctamente para que Secure Desktops las reconozca como imágenes para utilizarlas en un pool de escritorios.

Importar imágenes en el compartimento y agregar etiquetas de imagen:

  • Necesario:

    oci:desktops:is_desktop_image true

    Esta etiqueta permite al servicio determinar qué imágenes mostrar como opción al crear un pool de escritorios.

  • opcional:
    • oci:desktops:image_os_type [Oracle Linux | Windows]
    • oci:desktops:image_version <version>

      donde <version> es una referencia significativa para su uso.

Para obtener más información, consulte Etiquetas de escritorios seguros.

Exportación de imágenes a otra región

Una imagen solo existe dentro de una única región de un arrendamiento. Si desea que una imagen esté disponible en otra región de su arrendamiento, debe exportar la imagen y, a continuación, importarla a la otra región.

  1. Cree un cubo de almacenamiento de objetos para almacenar la imagen.
  2. Exporte la imagen al cubo de almacenamiento con el formato de imagen .oci.
  3. Una vez finalizada la exportación, cambie al cubo y cree una solicitud autenticada previamente para la imagen. Copie la URL proporcionada.
  4. Cambie al arrendamiento y la región de recepción. Importe la imagen desde la URL de almacenamiento de objetos con el tipo OCI.
  5. Agregue las etiquetas adecuadas a la imagen antes de utilizarla como imagen de escritorio.
  6. Después de importar la imagen a todas las regiones necesarias, puede suprimir el objeto de imagen del cubo de almacenamiento.

Asignación de hosts de máquina virtual dedicados

Si la imagen del pool de escritorios es para escritorios de Windows, los escritorios del pool se alojarán en hosts de máquina virtual dedicados (DVH) por defecto. Asegúrese de asignar suficientes recursos de DVH en el arrendamiento para ejecutar los escritorios de Windows.

Para obtener más información, consulte Hosts de máquinas virtuales dedicados.

Nota

  • Si el acuerdo de licencia permite virtualizar escritorios de Windows 10/11 en un entorno de nube, puede desactivar el aprovisionamiento de DVH agregando la etiqueta adecuada al crear el pool de escritorios. Consulte Etiquetas de escritorios seguros.
  • Secure Desktops no asigna DVH para pools de escritorio de Linux.

Debe definir el límite de arrendamiento para los hosts de máquina virtual dedicados para permitir que todos los escritorios de Windows se aprovisionen en máquinas virtuales dedicadas. No es necesario iniciar los hosts, Secure Desktops lo hace según sea necesario.

Uso de unidades adecuadas para agrupaciones de escritorio

Para los pools de escritorio de Windows, que son pools de escritorio que requieren hosts de máquina virtual dedicados, utilice una de las siguientes unidades preferidas, ya que están asignadas previamente a unidades DVH para la asignación de OCPU y memoria:

  • Flexible bajo (2 OCPU, 4 GB de RAM)
  • Medio flexible (4 OCPU, 8 GB de RAM)
  • Flex High (8 OCPU, 16 GB de RAM)
Nota

  • Durante la creación de la agrupación de escritorio, Secure Desktops calcula el número necesario de hosts de máquina virtual dedicados que se asignarán a una agrupación de escritorio.
  • Cuando se suprime un pool de escritorios, también se suprimen todos los hosts de máquina virtual dedicados asignados a ese pool de escritorios.

También puede seleccionar una unidad de máquina virtual específica de un juego de unidades de máquina virtual soportadas por la imagen de pool. En este caso, Secure Desktops asigna una unidad DVH correspondiente para alojar la unidad de VM.

En la siguiente tabla se muestran las unidades de máquina virtual soportadas y sus correspondientes unidades de DVH:

Unidad de VM Forma de DVH
VM.Standard2.2 DVH.Standard2.52:Flex Low
VM.Standard2.4 DVH.Standard2.52: Medio flexible
VM.Standard2.8 DVH.Standard2.52: Alto flexible
VM.Standard3. Flexible DVH.Estándar3.64
VM.Standard.E3. Flexible DVH.Standard.E3.128
VM.Standard.E4. Flexible DVH.Standard.E4.128
VM.DenselIO2.8 DVH.DenseIO2.52:Flex Low
VM.DenselIO2.16 DVH.DenseIO2.52:Medio flexible
VM.DenselIO2.24 DVH.DenseIO2.52:Flex Alto
VM.Optimized3. Flexible DVH.Optimizado3.36
VM.Standard.E2.2 DVH.Standard.E2.64:Flex Low
VM.Standard.E2.4 DVH.Standard.E2.64: Medio flexible
VM.Standard.E2.8 DVH.Standard.E2.64: Alto flexible
Nota

Si se especifica una unidad de VM no soportada, la creación de la agrupación falla y se devuelve un error.

Si desea especificar una unidad de DVH específica para los escritorios, puede agregar la etiqueta adecuada al crear el pool de escritorios. Consulte Etiquetas de escritorios seguros.