Activation de l'accès privé au bureau
Les ordinateurs de bureau sécurisés offrent une option pour permettre l'accès aux ordinateurs de bureau via un réseau privé.
L'administrateur peut activer l'accès d'un bureau privé dans Oracle Cloud Infrastructure à partir d'un réseau en nuage virtuel (VCN) ou d'un réseau sur place à l'aide d'un point d'extrémité privé. Un point d'extrémité privé est une adresse IP privée dans votre VCN que vous pouvez utiliser pour accéder à un service particulier dans Oracle Cloud Infrastructure. Un point d'extrémité privé est représenté en tant qu'adresse IP privée dans un sous-réseau du VCN.
Lors de la création d'un groupe d'ordinateurs de bureau, l'administrateur de bureau peut activer l'accès au bureau à l'aide du point d'extrémité privé configuré dans le VCN.
Cette fonction ne peut être activée que lors de la création de nouveaux groupes d'ordinateurs de bureau.
Préalables
Effectuez les étapes suivantes avant de créer un groupe d'ordinateurs de bureau avec un point d'extrémité privé :
- Définissez les politiques requises pour les ressources avec lesquelles vous travaillez. Selon vos compartiments, des politiques supplémentaires peuvent être requises.
<private-access-network-compartment> est le compartiment contenant le VCN et le sous-réseau utilisés pour l'accès privé.
- Si ce compartiment est identique à <desktops-network-compartment>, aucune nouvelle politique n'est requise.
- Si ce compartiment est différent de <desktops-network-compartment>, vous devez ajouter les politiques de niveau de service suivantes :
Allow dynamic-group <dynamic-group> to use virtual-network-family in in compartment <private-access-network-compartment> Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <private-access-network-compartment>
- Créez un VCN dans la région qui accèdera à vos groupes d'ordinateurs de bureau. Pour plus d'informations, voir Réseaux en nuage virtuels et sous-réseaux. Le VCN doit se trouver dans la région où vous prévoyez de créer le groupe d'ordinateurs de bureau.
- Configurez un sous-réseau dans votre réseau en nuage virtuel configuré avec les options DHCP par défaut. Pour plus d'informations, voir DNS dans le réseau en nuage virtuel.Note
- Le sous-réseau à accès privé et le sous-réseau de groupe de bureaux peuvent être provisionnés dans le même VCN ou dans des réseaux en nuage virtuels différents.
- L'accès privé et l'accès au groupe d'ordinateurs de bureau peuvent être provisionnés dans le même sous-réseau.
- L'accès au bureau à partir d'un réseau sur place nécessite un espace d'adresses disponible dans le VCN pour les sous-réseaux supplémentaires, si nécessaire pour la résolution des noms d'hôte.
- (Facultatif) Spécifiez un groupe de sécurité de réseau dans votre VCN. Le groupe de sécurité de réseau spécifie les règles de connectivité au service. Pour plus d'informations, voir Groupes de sécurité de réseau.
Paramètres DNS
L'accès au groupe d'ordinateurs de bureau de point d'extrémité privé se fera au moyen d'une adresse IP dans une zone DNS dans le format suivant :
private.devices.desktops.<region-id>.oci.oraclecloud.com
Les clients sur place doivent avoir la possibilité de résoudre les entrées DNS pour la zone ci-dessus. Pour ce faire, un module d'écoute DNS doit être configuré sur un sous-réseau avec le type de résolveur DNS réglé à Internet and VCN Resolver
.
Configuration du module d'écoute DNS du VCN
- Modifiez le sous-réseau pour définir les options DHCP suivantes :
- Pour le type de DNS, sélectionnez le résolveur Internet et VCN.
- Serveurs DNS : Non nécessaire
Pour plus d'informations, voir Pour mettre à jour des options dans un jeu existant d'options DHCP.
- Créez un point d'extrémité de résolveur DNS pour le VCN.
Ce point d'extrémité de résolveur peut être utilisé pour transmettre et écouter les interrogations DNS vers et depuis un autre système DNS privé, tel qu'un réseau VCN pair ou un réseau sur place.
- Sélectionnez un nom pour le point d'extrémité.
- Sélectionnez le type de point d'extrémité Écoute.
- Dans la liste déroulante, sélectionnez un sous-réseau pour le point d'extrémité. Sélectionnez le sous-réseau avec DHCP "Résolveur Internet et de réseau VCN"
Pour plus d'informations, voir Création d'un point d'extrémité de résolveur.
- Créez une liste de sécurité pour le VCN afin de définir les règles de trafic entrant suivantes pour autoriser le DNS :
- Sans état = Non
- Source =0.0.0.0/0
- Protocole IP =TCP
- Intervalle de ports sources = Tous
- Intervalle de ports de destination=53
- Autorise le trafic TCP pour les ports : 53 Domain Name System (DNS)
Pour plus d'informations, voir Création d'une liste de sécurité.
Configuration de DNS sur place
Une fois le module d'écoute DNS configuré, le serveur DNS utilisé par les clients sur place doit être configuré pour utiliser l'adresse IP du module d'écoute DNS créée ci-dessus.
Configurez votre serveur DNS intranet sur place avec une réacheminement DNS conditionnel vers le module d'écoute DNS configuré dans le VCN, et spécifiez le nom de la zone :
private.devices.desktops.<region-id>.oci.oraclecloud.com
Création d'un groupe d'ordinateurs de bureau avec le point d'extrémité privé
Pour créer un groupe d'ordinateurs de bureau à l'aide du point d'extrémité privé, l'administrateur de l'ordinateur de bureau fournit les détails d'accès privé suivants lors de la création du groupe d'ordinateurs de bureau à l'aide de la console ou de l'API Secure Desktops.
- Réseau en nuage virtuel (VCN).
- Sous-réseau pour accès privé.
- (Facultatif) Adresse IP à affecter au point d'extrémité privé. S'il n'est pas défini, une adresse IP est affectée automatiquement. Les ordinateurs de bureau sécurisés définissent le nom de domaine complet de l'adresse IP.
- (Facultatif) Un ou plusieurs groupes de sécurité de réseau pour un contrôle supplémentaire du trafic réseau.
Pour plus d'informations, voir Création d'un groupe d'ordinateurs de bureau.
Pour fournir un accès privé à plusieurs groupes de la location, plusieurs points d'extrémité privés sont pris en charge. Le nom DNS de chaque point d'extrémité de groupe privé sera unique sous la forme :
<pool-specific-id>.private.devices.desktops.<region-id>.oci.oraclecloud.com
FastConnect
Un accès privé aux ordinateurs de bureau est effectué au moyen de l'appairage privé Oracle Cloud Infrastructure FastConnect. FastConnect offre un moyen facile de créer une connexion privée dédiée entre votre centre de données sur place et Oracle Cloud Infrastructure, avec des vitesses de port de 1G à 400G et aucun frais par octet pour le déplacement des données. FastConnect offre des options de bande passante supérieure et permet une utilisation du réseau plus fiable et plus cohérente que les connexions basées sur Internet.
Pour plus d'informations sur l'appairage privé FastConnect, notamment les exigences de la location, les scénarios de réseau et la configuration, voir FastConnect.
Passerelle de routage dynamique
L'appairage privé FastConnect (à l'aide d'un circuit virtuel privé) nécessite une passerelle de routage dynamique.
Une passerelle DRG est un routeur en périphérie virtuel associé à votre réseau VCN. La passerelle DRG est un point d'entrée unique pour le trafic privé qui provient de votre réseau VCN, que ce soit sur FastConnect ou sur un lien RPV site à site. Après avoir créé la passerelle DRG, vous devez l'associer à votre réseau VCN et lui ajouter une route dans la table de routage de ce VCN pour permettre le trafic.
Une passerelle DRG inclut un type d'attachement de réseau VIRTUAL_CIRCUIT. Vous pouvez attacher un ou plusieurs circuits virtuels FastConnect à votre passerelle DRG pour vous connecter aux réseaux sur place.
Utilisez la console Oracle Cloud Infrastructure pour configurer une passerelle DRG, l'attacher à votre VCN et mettre à jour le routage dans votre VCN afin d'inclure une règle de routage pour envoyer le trafic à la passerelle DRG. Il est facile d'oublier de mettre à jour la table de routage. Sans la règle de routage, aucun trafic ne circulera.
Pour plus d'informations, voir :
- Création d'une passerelle DRG
- Attachement d'un VCN à une passerelle DRG
- Mise à jour des règles de table de routage de VCN
Une fois la passerelle DRG configurée, créez un circuit virtuel privé dans FastConnect, en sélectionnant la passerelle DRG vers laquelle acheminer le trafic FastConnect. Pour plus d'informations, voir Introduction à FastConnect .