Documentation sur Oracle Cloud Infrastructure

Configuration de la location

Pour configurer la location pour les ordinateurs de bureau sécurisés, l'administrateur de la location doit configurer des compartiments, créer des politiques pour les utilisateurs et les groupes, et configurer les images, le stockage et le réseau disponibles pour que l'administrateur du bureau puisse les utiliser.

Note

Oracle recommande d'utiliser la pile ORM (Secure Desktops Resource Manager) pour simplifier le processus de configuration de la location. La pile ORM aide à effectuer plusieurs tâches de processus pour s'assurer que la location est configurée conformément aux meilleures pratiques.

  • Création de politiques, de groupes dynamiques et d'accès utilisateur pour le service Secure Desktops.
  • Création ou intégration de ressources de réseau existantes.
  • Importation d'une image personnalisée à utiliser dans un pool de bureaux sécurisés.

Téléchargez le fichier de configuration de pile ORM requis à partir d'Oracle Cloud Marketplace.

Pour obtenir des instructions sur l'utilisation de la pile ORM, voir Bureaux sécurisés OCI : Comment configurer la location à l'aide de la pile ORM (KB48885).

Configuration des compartiments

Configurez les compartiments requis par les ordinateurs de bureau sécurisés pour contrôler l'accès aux groupes d'ordinateurs de bureau.

  1. Communiquez avec l'administrateur de bureau pour savoir quels compartiments sont requis.

    Utilisez des compartiments pour contrôler l'accès aux ordinateurs de bureau. Par exemple, vous aurez probablement besoin d'un compartiment par groupe d'ordinateurs de bureau et il y aura plusieurs groupes d'ordinateurs de bureau. Voir Présentation de l'accès des utilisateurs de bureau à un groupe de bureaux et Groupes de bureaux. Vous devrez peut-être également utiliser des compartiments pour séparer les autres ressources.

  2. Créez des compartiments comme décrit sous Découvrir les meilleures pratiques pour la configuration de votre location.

Création de politiques pour le service

Définissez un groupe dynamique et ajoutez des politiques pour permettre au service de bureaux sécurisés de s'exécuter dans la location.

  1. Ajoutez un groupe dynamique pour les groupes d'ordinateurs de bureau dans les compartiments que vous gérez. Reportez-vous à Gestion des groupes dynamiques pour obtenir des instructions sur la création de groupes dynamiques. Pour définir le groupe dynamique à l'aide de compartiments, procédez comme suit :
    1. Attribuez au groupe dynamique un nom que vous utiliserez dans les énoncés de politique, par exemple DesktopPoolDynamicGroup.
    2. Sélectionnez l'option Satisfaire à toutes les règles définies ci-dessous pour le groupe dynamique.
    3. Ajoutez la règle de correspondance suivante pour identifier la ressource du groupe d'ordinateurs de bureau : 
      resource.type = 'desktoppool'
    4. Facultativement, ajoutez une règle de correspondance supplémentaire pour identifier les compartiments qui contiendront des groupes d'ordinateurs de bureau : 
      Any {resource.compartment.id = '<ocid>', resource.compartment.id = '<ocid>'}

      <ocid> est l'ID ressource pour chaque compartiment. Exemple :

      Any {resource.compartment.id = '<OCID-OracleLinux8Standard>', resource.compartment.id = '<OCID-OracleLinux8Extra>'}
  2. Dans le compartiment racine, ajoutez les politiques suivantes pour chaque groupe dynamique que vous avez ajouté. Les groupes d'ordinateurs de bureau des groupes dynamiques peuvent ainsi accéder aux ressources de niveau location requises.

    Pour une présentation des politiques, voir Configuration des politiques.

    Pour créer une politique, voir Créer une politique à l'aide de la console.

    Dans les exemples suivants, les groupes dynamiques sont évalués comme s'ils appartenaient au domaine d'identité par défaut. Si vous utilisez un domaine d'identité non par défaut, vous devez inclure le nom du domaine d'identité avant le groupe dynamique dans l'énoncé de politique. Pour plus d'informations, notamment des exemples de syntaxe, voir Syntaxe d'une politique.

    Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

    <dynamic-group> est le nom du groupe dynamique spécifiant un jeu de groupes de bureaux.

  3. Dans le compartiment racine, ou au-dessus des compartiments du groupe de postes de travail que vous gérez, ajoutez les politiques suivantes pour permettre aux groupes de postes de travail de chaque groupe dynamique d'interagir avec les ressources nécessaires.

    Pour créer une politique, voir Créer une politique à l'aide de la console.

    Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
    Où :
    • <dynamic-group> est le nom du groupe dynamique spécifiant un jeu de groupes d'ordinateurs de bureau.
    • <desktops-network-compartment> est le nom du compartiment contenant le VCN utilisé par les groupes d'ordinateurs de bureau. Si ce compartiment n'est pas un enfant des compartiments situés au-dessus des compartiments du groupe d'ordinateurs de bureau, la politique doit être spécifiée dans le compartiment racine.
    • <image-compartment> est le nom du compartiment contenant les instances d'image de bureau utilisées par les groupes d'ordinateurs de bureau. Si ce compartiment n'est pas un enfant des compartiments situés au-dessus des compartiments du groupe d'ordinateurs de bureau, la politique doit être spécifiée dans le compartiment racine.
    • <desktop-compartment> est le nom de l'un des éléments suivants :
      • Compartiment contenant les groupes d'ordinateurs de bureau et les volumes de stockage et ressources associés.
      • Parent des compartiments contenant les groupes d'ordinateurs de bureau.
    Note

    Si vous prévoyez de créer des groupes d'ordinateurs de bureau privés, des politiques supplémentaires peuvent être requises. Pour plus d'informations, voir Activation de l'accès privé au bureau.

    Cet exemple présente les politiques requises pour deux ordinateurs de bureau dans deux compartiments indépendants, OracleLinux8Standard et OracleLinux8Extra. Si tous les compartiments sous un parent commun utilisent les mêmes politiques, vous pouvez les répertorier une fois à l'aide du compartiment parent afin d'éviter la duplication.

    Allow dynamic-group DesktopPoolDynamicGroup to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect users in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect compartments in tenancy
Allow dynamic-group DesktopPoolDynamicGroup to use tag-namespaces in tenancy

Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment VirtualCloudNetworks
Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment Images

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Standard

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Extra

Création de politiques pour autorisation d'utilisateur

Configurez l'accès utilisateur approprié pour permettre aux administrateurs de bureau de gérer les groupes et les utilisateurs de bureau de se connecter aux ordinateurs de bureau.

Deux types de groupe sont requis :

  • Groupes d'administrateurs pour les administrateurs de bureau qui utilisent le service pour fournir des ordinateurs de bureau.
  • Groupes d'utilisateurs pour les utilisateurs de bureau qui se connectent aux ordinateurs de bureau.
Ces groupes s'ajoutent au groupe d'administrateurs de location utilisé pour accorder l'autorisation de création de compartiments, d'images, etc. Voir, par exemple, Gérer les images personnalisées.

L'appartenance à un groupe d'administrateurs n'accorde pas l'autorisation de se connecter à un bureau du groupe, uniquement pour créer et gérer les groupes. Un utilisateur de bureau peut se connecter à un bureau à partir de chacun des groupes du compartiment auquel il est autorisé à accéder. Pour isoler des groupes d'utilisateurs, par exemple pour restreindre l'accès à un type particulier de bureau, les ordinateurs de bureau doivent se trouver dans des compartiments différents (voir Présentation de l'accès des utilisateurs de bureau à un groupe de bureaux) et les groupes doivent avoir accès à ces compartiments, le cas échéant. Pour plus d'informations sur la création de groupes, voir Utilisation des groupes.

Pour une présentation des politiques, voir Configuration des politiques.

Pour créer une politique, voir Créer une politique à l'aide de la console.

  1. Ajoutez des politiques pour les administrateurs de bureau :

    • Politique pour la famille de pools de postes de travail :
      Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>

      Par exemple :

      Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Standard
Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Extra
    • Politique pour les ressources en lecture :
      Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>

      Exemple :

      Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Standard
Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Extra
    • Politique pour la famille de réseaux virtuels :
      Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>

      Exemple :

      Allow group Desktop_Admins to use virtual-network-family in compartment VirtualCloudNetworks
    • Politique pour les images d'instance :
      Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

      Exemple :

      Allow group Desktop_Admins to use instance-images in compartment Images

  2. Ajoutez des politiques pour les utilisateurs de bureau :

    • Politique pour tous les groupes d'ordinateurs de bureau d'un compartiment :
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

      Exemple :

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
Allow group IT_Users to use published-desktops in compartment OracleLinux8Extra
    • Politique pour des groupes d'ordinateurs de bureau spécifiques dans un compartiment :
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

      Facultativement, utilisez les énoncés where avec les variables de contexte suivantes pour spécifier un ou plusieurs groupes de bureaux par nom ou OCID :

      • target.desktoppool.name
      • target.desktoppool.id

      Exemple :

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.name = '<pool-name>'
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where any {target.desktoppool.name = '<pool-name_1>', target.desktoppool.name = '<pool-name_2>'...}
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.id = '<pool-ocid>'

Configuration du réseau

Configurez le réseau en nuage virtuel (VCN) pour la connexion à des ordinateurs de bureau sécurisés.

Chaque groupe d'ordinateurs de bureau nécessite l'accès à un sous-réseau approprié pour connecter le service d'ordinateurs de bureau sécurisés aux instances de bureau. Ce sous-réseau peut être privé ou public. Lors de la création du sous-réseau pour vos groupes d'ordinateurs de bureau, assurez-vous que le nombre d'adresses IP disponibles dans le sous-réseau correspond au nombre d'ordinateurs de bureau que vous voulez provisionner. Par exemple, un sous-réseau de classe C ne peut fournir que 254 adresses IPv4.

Groupes de sécurité de réseau

Lors de la création d'un pool de postes de travail, Secure Desktops crée un groupe de sécurité réseau (NSG) avec des règles de sécurité qui fournissent une connectivité réseau pour le service. Ce groupe de sécurité de réseau, desktop_pool_instances_<ocid>_nsg, est visible uniquement à partir de l'instance de calcul associée au bureau.

Si vous choisissez d'utiliser des groupes de sécurité de réseau supplémentaires, vous devez les créer et les appliquer lorsque vous créez le groupe d'ordinateurs de bureau. Voir Paramètres de groupe de bureaux.

Pour plus d'informations, voir Groupes de sécurité de réseau.

Passerelle de service

Pour utiliser le plugiciel Oracle Cloud Agent (obligatoire pour les bureaux Windows et Linux), vous devez configurer une passerelle de service pour votre VCN. Les étapes incluent la création de la passerelle de service, la mise à jour du routage pour le sous-réseau en ajoutant une règle de routage et l'ajout d'une règle de sécurité de trafic sortant pour autoriser le trafic souhaité. Voir Accès aux services Oracle : Passerelle de service.

Pour plus d'informations sur le plugiciel Oracle Cloud Agent, voir Oracle Cloud Agent.

Note

Pour activer l'accès au bureau privé, voir Activation de l'accès au bureau privé pour plus d'informations sur le réseau.

Importation des images

Importez des images et marquez-les correctement afin que les ordinateurs de bureau sécurisés les reconnaissent en tant qu'images à utiliser pour un pool de bureaux.

Importez des images dans le compartiment et ajoutez des marqueurs d'image :

  • Obligatoire :

    oci:desktops:is_desktop_image true

    Ce marqueur permet au service de déterminer les images à afficher en tant qu'option lorsque vous créez un groupe d'ordinateurs de bureau.

  • Facultative :
    • oci:desktops:image_os_type [Oracle Linux | Windows]
    • oci:desktops:image_version <version>

      <version> est une référence significative pour votre utilisation.

Pour plus d'informations, voir Marqueurs de bureau sécurisés.

Exportation d'images vers une autre région

Une image n'existe que dans une seule région d'une location. Si vous voulez rendre une image disponible dans une autre région de votre location, vous devez exporter l'image, puis l'importer dans l'autre région.

  1. Créez un seau de stockage d'objets pour stocker l'image.
  2. Exportez l'image vers le seau de stockage à l'aide du format d'image .oci.
  3. Une fois l'exportation terminée, passez au seau et créez une demande préauthentifiée pour l'image. Copiez l'URL fournie.
  4. Passez à la location et à la région de réception. Importez l'image à partir de l'URL du stockage d'objets à l'aide du type OCI.
  5. Ajoutez les marqueurs appropriés à l'image avant de l'utiliser comme image de bureau.
  6. Après avoir importé l'image dans toutes les régions requises, vous pouvez supprimer l'objet d'image du seau de stockage.

Affectation d'hôtes dédiés de machine virtuelle

Si l'image du pool de bureaux est destinée aux ordinateurs de bureau Windows, les ordinateurs de bureau du pool seront hébergés sur des hôtes dédiés de machine virtuelle (DVH) par défaut. Assurez-vous d'allouer suffisamment de ressources d'hôte de machine virtuelle dédié dans la location pour exécuter les bureaux Windows.

Pour plus d'informations, voir Hôtes dédiés de machine virtuelle.

Note

  • Si votre contrat de licence autorise la virtualisation des ordinateurs de bureau Windows 10/11 dans un environnement en nuage, vous pouvez désactiver le provisionnement d'hôte de machine virtuelle dédié en ajoutant le marqueur approprié lors de la création du groupe de bureaux. Voir Marqueurs de bureau sécurisés.
  • Les ordinateurs de bureau sécurisés n'affectent pas les hôtes de machine virtuelle dédiés aux groupes d'ordinateurs de bureau Linux.

Vous devez définir la limite de location pour les hôtes dédiés de machine virtuelle afin d'activer le provisionnement de tous les ordinateurs de bureau Windows sur des machines virtuelles dédiées. Vous n'avez pas besoin de démarrer les hôtes. Les ordinateurs de bureau sécurisés le font si nécessaire.

Utiliser des formes appropriées pour les groupes d'ordinateurs de bureau

Pour les groupes d'ordinateurs de bureau Windows, c'est-à-dire les groupes d'ordinateurs de bureau qui nécessitent des hôtes dédiés de machine virtuelle, utilisez l'une des formes préférées suivantes, car ils sont pré-mappés aux formes d'hôte de machine virtuelle dédié pour l'affectation des OCPU et de la mémoire :

  • Flex - Faible (2 OCPU, 4 Go de mémoire vive)
  • Moyen flexible (4 OCPU, 8 Go de mémoire vive)
  • Flex - Élevé (8 OCPU, 16 Go de mémoire vive)
Note

  • Lors de la création d'un pool de bureaux, Secure Desktops calcule le nombre requis d'hôtes de machine virtuelle dédiés à allouer à un pool de bureaux.
  • Lorsqu'un pool de postes de travail est supprimé, tous les hôtes dédiés de machine virtuelle affectés à ce pool de postes de travail sont également supprimés.

L'administrateur peut également choisir une forme de machine virtuelle spécifique à partir d'un jeu de formes de machine virtuelle prises en charge par l'image de groupe. Dans ce cas, les ordinateurs de bureau sécurisés affectent une forme DVH correspondante pour héberger la forme de machine virtuelle.

Le tableau suivant indique les formes de machine virtuelle prises en charge et les formes d'hôte de machine virtuelle DVH correspondantes :

forme de machine virtuelle Forme DVH
VM.Standard2.2 DVH.Standard2.52 :Flex Low
VM.Standard2.4 DVH.Standard2.52 :Moyen flexible
VM.Standard2.8 DVH.Standard2.52 :Flex High
VM.Standard3. Champ flexible DVH.Standard3.64
VM.Standard.E3. Champ flexible DVH.Standard.E3.128
VM.Standard.E4. Champ flexible DVH.Standard.E4.128
VM.DenselIO2.8 DVH.DenseIO2.52 :Flex Faible
VM.DenselIO2.16 DVH.DenseIO2.52 :Moyen flexible
VM.DenselIO2.24; DVH.DenseIO2.52 : Flex High
VM.Optimized3. Champ flexible DVH.Optimisé3.36
VM.Standard.E2.2 DVH.Standard.E2.64 :Flex Low
VM.Standard.E2.4 DVH.Standard.E2.64 :Moyen flexible
VM.Standard.E2.8 DVH.Standard.E2.64 : Flex High
Note

Si une forme de machine virtuelle non prise en charge est spécifiée, la création du groupe échoue et une erreur est retournée.

Si vous voulez spécifier une forme d'hôte de machine virtuelle dédié pour vos ordinateurs de bureau, vous pouvez ajouter le marqueur approprié lors de la création du groupe d'ordinateurs de bureau. Voir Marqueurs de bureau sécurisés.