Configuration de la location
Pour configurer la location pour les bureaux sécurisés, l'administrateur de location doit configurer des compartiments, créer des stratégies pour les utilisateurs et les groupes, et configurer les images, le stockage et le réseau disponibles que l'administrateur de bureau doit utiliser.
- Configurer des compartiments
- Création de stratégies pour le service
- Création de stratégies pour l'autorisation utilisateur
- Configuration du réseau
- Volumes de stockage
- Importation des images
- Export d'images vers une autre région
- Allocation d'hôtes de machine virtuelle dédiés
Oracle recommande d'utiliser la pile ORM (Secure Desktops Resource Manager) pour simplifier le processus de configuration de la location. La pile ORM vous aide à effectuer plusieurs tâches de processus pour vous assurer que la location est configurée conformément aux meilleures pratiques.
- Création de stratégies, de groupes dynamiques et d'un accès utilisateur pour le service Secure Desktops.
- Création ou intégration de ressources réseau existantes.
- Import d'une image personnalisée à utiliser dans un pool de bureaux sécurisés.
Téléchargez le fichier de configuration de pile ORM requis à partir d'Oracle Cloud Marketplace.
Pour obtenir des instructions sur l'utilisation de la pile ORM, reportez-vous à Bureaux sécurisés OCI : configuration de la location à l'aide de la pile ORM (KB48885).
Configurer des compartiments
Configurez les compartiments requis par les bureaux sécurisés pour contrôler l'accès aux pools de bureaux.
Création de stratégies pour le service
Définissez un groupe dynamique et ajoutez des stratégies pour autoriser l'exécution du service Secure Desktops dans la location.
Création de stratégies pour l'autorisation utilisateur
Configurez l'accès utilisateur approprié pour permettre aux administrateurs de bureau de gérer les pools et aux utilisateurs de bureau de se connecter aux bureaux.
Deux types de groupes sont requis :
- Groupes d'administrateurs pour les administrateurs de bureau qui utilisent le service pour fournir des bureaux.
- Groupes d'utilisateurs pour les utilisateurs de bureau qui se connectent aux bureaux.
L'appartenance à un groupe d'administrateurs n'autorise pas la connexion à un bureau du pool, mais uniquement la création et la gestion des pools. Un utilisateur de bureau peut se connecter à un bureau à partir de chacun des pools du compartiment auquel il est autorisé à accéder. Pour isoler les groupes d'utilisateurs, par exemple pour restreindre l'accès à un type particulier de bureau, les bureaux doivent se trouver dans des compartiments différents (reportez-vous à Présentation de l'accès des utilisateurs de bureau à un pool de bureaux) et les groupes doivent avoir accès à ces compartiments, le cas échéant. Pour plus d'informations sur la création de groupes, reportez-vous à Utilisation des groupes.
Pour une présentation des stratégies, reportez-vous à Introduction aux stratégies.
Pour créer une stratégie, reportez-vous à Création d'une stratégie à l'aide de la console.
-
Ajoutez des stratégies pour les administrateurs de bureau :
- Stratégie pour la famille de pools de bureaux :
Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>Par exemple :
Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Standard Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Extra - Stratégie pour les ressources en lecture :
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>Par exemple :
Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Standard Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Extra - Stratégie pour la famille de réseaux virtuels :
Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>Par exemple :
Allow group Desktop_Admins to use virtual-network-family in compartment VirtualCloudNetworks - Stratégie pour les images d'instance :
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>Par exemple :
Allow group Desktop_Admins to use instance-images in compartment Images
- Stratégie pour la famille de pools de bureaux :
-
Ajoutez des stratégies pour les utilisateurs de bureau :
- Stratégie pour tous les pools de bureaux d'un compartiment :
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>Par exemple :
Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard Allow group IT_Users to use published-desktops in compartment OracleLinux8Extra - Stratégie pour des pools de bureaux spécifiques au sein d'un compartiment :
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment> where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}Vous pouvez éventuellement utiliser des instructions
whereavec les variables de contexte suivantes pour indiquer des pools de bureaux par nom ou OCID :- target.desktoppool.name
- target.desktoppool.id
Par exemple :
Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard where target.desktoppool.name = '<pool-name>'Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard where any {target.desktoppool.name = '<pool-name_1>', target.desktoppool.name = '<pool-name_2>'...}Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard where target.desktoppool.id = '<pool-ocid>'
- Stratégie pour tous les pools de bureaux d'un compartiment :
Configuration du réseau
Configurez le réseau cloud virtuel (VCN) pour la connexion aux bureaux sécurisés.
Chaque pool de bureaux nécessite l'accès à un sous-réseau approprié pour connecter le service Secure Desktops aux instances de bureau. Ce sous-réseau peut être privé ou public. Lorsque vous créez le sous-réseau de vos pools de bureaux, assurez-vous que le nombre d'adresses IP disponibles dans le sous-réseau correspond au nombre de bureaux à provisionner. Par exemple, un sous-réseau de classe C ne peut fournir que 254 adresses IPv4.
Groupes de sécurité réseau
Lors de la création d'un pool de bureaux, Secure Desktops crée un groupe de sécurité réseau (NSG) avec des règles de sécurité qui assurent la connectivité réseau du service. Ce groupe de sécurité réseau, desktop_pool_instances_<ocid>_nsg, est uniquement visible à partir de l'instance de calcul associée au bureau.
Si vous choisissez d'utiliser des groupes de sécurité réseau supplémentaires, vous devez créer les groupes de sécurité réseau et les appliquer lorsque vous créez le pool de bureaux. Reportez-vous à Création d'un pool de bureau.
Pour plus d'informations, reportez-vous à Groupes de sécurité réseau.
Passerelle de service
Pour utiliser le module d'extension d'agent Oracle Cloud (requis pour les bureaux Windows et Linux), vous devez configurer une passerelle de service pour votre VCN. Les étapes comprennent la création de la passerelle de service, la mise à jour du routage pour le sous-réseau en ajoutant une règle de routage et l'ajout d'une règle de sécurité sortante pour autoriser le trafic souhaité. Reportez-vous à Accès aux services Oracle : passerelle de service.
Pour plus d'informations sur le module d'extension d'agent Oracle Cloud, reportez-vous à Agent Oracle Cloud.
Si vous souhaitez activer l'accès au bureau privé, reportez-vous à Activation de l'accès au bureau privé pour connaître les exigences réseau supplémentaires.
Importation des images
Importez les images et étiquetez-les correctement afin que les bureaux sécurisés les reconnaissent comme des images à utiliser pour un pool de bureaux.
Importez des images dans le compartiment et ajoutez des balises d'image :
Pour plus d'informations, reportez-vous à Balises de bureau sécurisées.
Export d'images vers une autre région
Une image existe uniquement dans une seule région d'une location. Pour rendre une image disponible dans une autre région de votre location, vous devez l'exporter, puis l'importer dans l'autre région.
- Créez un bucket de stockage d'objet pour stocker l'image.
- Exportez l'image vers le bucket de stockage à l'aide du format d'image .oci.
- Une fois l'export terminé, passez au bucket et créez une demande pré-authentifiée pour l'image. Copiez l'URL fournie.
- Passez à la location et à la région de réception. Importez l'image à partir de l'URL de stockage d'objet à l'aide du type OCI.
- Ajoutez les balises appropriées à l'image avant de l'utiliser en tant qu'image de bureau.
- Après avoir importé l'image dans toutes les régions requises, vous pouvez supprimer l'objet d'image du bucket de stockage.
Allocation d'hôtes de machine virtuelle dédiés
Si l'image du pool de bureaux est destinée aux bureaux Windows, les bureaux du pool sont hébergés sur des hôtes de machine virtuelle dédiés (DVH) par défaut. Veillez à allouer suffisamment de ressources DVH dans la location pour exécuter les bureaux Windows.
Pour plus d'informations, reportez-vous à Hôtes de machine virtuelle dédiés.
- Si votre contrat de licence autorise la virtualisation des bureaux Windows 10/11 dans un environnement cloud, vous pouvez désactiver le provisionnement DVH en ajoutant la balise appropriée lors de la création du pool de bureaux. Reportez-vous à Balises de bureau sécurisées.
- Secure Desktops n'alloue pas de DVH pour les pools de bureaux Linux.
Vous devez définir la limite de location pour les hôtes de machine virtuelle dédiés afin que tous les bureaux Windows puissent être provisionnés sur des machines virtuelles dédiées. Il n'est pas nécessaire de démarrer les hôtes. Les bureaux sécurisés effectuent cette opération si nécessaire.
Utilisation de formes appropriées pour les pools de bureaux
Pour les pools de bureaux Windows, c'est-à-dire les pools de bureaux qui nécessitent des hôtes de machine virtuelle dédiés, utilisez l'une des formes préférées suivantes, car elles sont pré-mappées aux formes DVH pour l'allocation d'OCPU et de mémoire :
- Flex Low (2 OCPU, 4 Go de RAM)
- Flex Medium (4 OCPU, 8 Go de RAM)
- Flex High (8 OCPU, 16 Go de RAM)
- Lors de la création d'un pool de bureaux, Secure Desktops calcule le nombre requis d'hôtes de machine virtuelle dédiés à allouer à un pool de bureaux.
- Lorsqu'un pool de bureaux est supprimé, tous les hôtes de machine virtuelle dédiés alloués à ce pool de bureaux sont également supprimés.
L'administrateur peut également choisir une forme de machine virtuelle spécifique dans un ensemble de formes de machine virtuelle prises en charge par l'image de pool. Dans ce cas, Secure Desktops affecte une forme DVH correspondante à l'hôte de la forme de machine virtuelle.
Le tableau suivant répertorie les formes de machine virtuelle prises en charge et les formes DVH correspondantes :
| Forme de machine virtuelle | Forme DVH |
|---|---|
| VM.Standard2.2 | DVH.Standard2.52 :Flex faible |
| VM.Standard2.4 | DVH.Standard2.52 :Flex Moyen |
| VM.Standard2.8 | DVH.Standard2.52 :Flex High |
| VM.Standard3.Flex | DVH.Standard3.64 |
| VM.Standard.E3.Flex | DVH.Standard.E3.128 |
| VM.Standard.E4.Flex | DVH.Standard.E4.128 |
| VM.DenselIO2.8 | DVH.DenseIO2.52 :Flex Low |
| VM.DenselIO2.16 | DVH.DenseIO2.52 :Flex Moyen |
| VM.DenselIO2.24 | DVH.DenseIO2.52 :Flex High |
| VM.Optimized3. Champ flexible | DVH.Optimisé3.36 |
| VM.Standard.E2.2 | DVH.Standard.E2.64 :Flex Low |
| VM.Standard.E2.4 | DVH.Standard.E2.64 :Flex Moyen |
| VM.Standard.E2.8 | DVH.Standard.E2.64 :Flex High |
Si une forme de machine virtuelle non prise en charge est indiquée, la création du pool échoue et une erreur est renvoyée.
Si vous souhaitez spécifier une forme DVH spécifique pour vos bureaux, vous pouvez ajouter la balise appropriée lors de la création du pool de bureaux. Reportez-vous à Balises de bureau sécurisées.