Documentation Oracle Cloud Infrastructure

Configuration de la location

Pour configurer la location pour les bureaux sécurisés, l'administrateur de location doit configurer des compartiments, créer des stratégies pour les utilisateurs et les groupes, et configurer les images, le stockage et le réseau disponibles que l'administrateur de bureau doit utiliser.

Remarque

Oracle recommande d'utiliser la pile ORM (Secure Desktops Resource Manager) pour simplifier le processus de configuration de la location. La pile ORM vous aide à effectuer plusieurs tâches de processus pour vous assurer que la location est configurée conformément aux meilleures pratiques.

  • Création de stratégies, de groupes dynamiques et d'un accès utilisateur pour le service Secure Desktops.
  • Création ou intégration de ressources réseau existantes.
  • Import d'une image personnalisée à utiliser dans un pool de bureaux sécurisés.

Téléchargez le fichier de configuration de pile ORM requis à partir d'Oracle Cloud Marketplace.

Pour obtenir des instructions sur l'utilisation de la pile ORM, reportez-vous à Bureaux sécurisés OCI : configuration de la location à l'aide de la pile ORM (KB48885).

Configurer des compartiments

Configurez les compartiments requis par les bureaux sécurisés pour contrôler l'accès aux pools de bureaux.

  1. Contactez l'administrateur du bureau pour savoir quels compartiments sont requis.

    Utilisez des compartiments pour contrôler l'accès aux bureaux. Par exemple, vous aurez probablement besoin d'un compartiment par pool de bureaux et il y aura plusieurs pools de bureaux. Reportez-vous aux sections Understanding Desktop User Access to a Desktop Pool et Desktop Pools. Vous pouvez également avoir besoin d'utiliser des compartiments pour séparer les autres ressources.

  2. Créez des compartiments comme décrit dans Découvrez les meilleures pratiques pour configurer votre location.

Création de stratégies pour le service

Définissez un groupe dynamique et ajoutez des stratégies pour autoriser l'exécution du service Secure Desktops dans la location.

  1. Ajoutez un groupe dynamique pour les pools de bureaux dans les compartiments que vous gérez. Pour obtenir des instructions sur la création de groupes dynamiques, voir Gérer les groupes dynamiques. Pour définir le groupe dynamique à l'aide de compartiments, procédez comme suit :
    1. Attribuez au groupe dynamique un nom que vous utiliserez dans les instructions de stratégie, par exemple DesktopPoolDynamicGroup.
    2. Sélectionnez l'option Mettre en correspondance toutes les règles définies ci-dessous pour le groupe dynamique.
    3. Ajoutez la règle de mise en correspondance suivante pour identifier la ressource de pool de bureaux : 
      resource.type = 'desktoppool'
    4. Vous pouvez éventuellement ajouter une règle de mise en correspondance supplémentaire pour identifier les compartiments qui contiendront des pools de bureaux : 
      Any {resource.compartment.id = '<ocid>', resource.compartment.id = '<ocid>'}

      <ocid> est l'ID de ressource de chaque compartiment. Par exemple :

      Any {resource.compartment.id = '<OCID-OracleLinux8Standard>', resource.compartment.id = '<OCID-OracleLinux8Extra>'}
  2. Dans le compartiment racine, ajoutez les stratégies suivantes pour chaque groupe dynamique que vous avez ajouté. Les pools de bureaux des groupes dynamiques peuvent ainsi accéder aux ressources de niveau location requises.

    Pour une présentation des stratégies, reportez-vous à Introduction aux stratégies.

    Pour créer une stratégie, reportez-vous à Création d'une stratégie à l'aide de la console.

    Dans les exemples suivants, les groupes dynamiques sont évalués comme s'ils appartenaient au domaine d'identité par défaut. Si vous utilisez un domaine d'identité autre que celui par défaut, vous devez inclure le nom de domaine d'identité avant le groupe dynamique dans l'instruction de stratégie. Pour plus d'informations, y compris des exemples de syntaxe, reportez-vous à Syntaxe de stratégie.

    Allow dynamic-group <dynamic-group> to {DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

    <dynamic-group> est le nom du groupe dynamique indiquant un ensemble de pools de bureaux.

  3. Dans le compartiment racine ou au-dessus des compartiments de pool de bureaux que vous gérez, ajoutez les stratégies suivantes pour autoriser les pools de bureaux de chaque groupe dynamique à interagir avec les ressources nécessaires.

    Pour créer une stratégie, reportez-vous à Création d'une stratégie à l'aide de la console.

    Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
    Où :
    • <dynamic-group> est le nom du groupe dynamique indiquant un ensemble de pools de bureaux.
    • <desktops-network-compartment> est le nom du compartiment contenant le VCN utilisé par les pools de bureaux. Si ce compartiment n'est pas un enfant des compartiments situés au-dessus des compartiments du pool de bureaux, la stratégie doit être indiquée dans le compartiment racine.
    • <image-compartment> est le nom du compartiment contenant les instances d'image de bureau utilisées par les pools de bureaux. Si ce compartiment n'est pas un enfant des compartiments situés au-dessus des compartiments du pool de bureaux, la stratégie doit être indiquée dans le compartiment racine.
    • <desktop-compartment> est le nom de l'un des éléments suivants :
      • Compartiment contenant les pools de bureaux et les volumes de stockage et ressources associés.
      • Parent des compartiments contenant des pools de bureaux.
    Remarque

    Si vous prévoyez de créer des pools de bureaux privés, des stratégies supplémentaires peuvent être requises. Pour plus d'informations, reportez-vous à Activation de l'accès au bureau privé.

    Cet exemple présente les stratégies requises pour deux bureaux dans deux compartiments indépendants, OracleLinux8Standard et OracleLinux8Extra. Si tous les compartiments sous un parent commun utilisent les mêmes stratégies, vous pouvez les répertorier une seule fois à l'aide du compartiment parent afin d'éviter la duplication.

    Allow dynamic-group DesktopPoolDynamicGroup to {DOMAIN_READ} in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect users in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect compartments in tenancy
Allow dynamic-group DesktopPoolDynamicGroup to use tag-namespaces in tenancy

Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment VirtualCloudNetworks
Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment Images

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Standard

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Extra

Création de stratégies pour l'autorisation utilisateur

Configurez l'accès utilisateur approprié pour permettre aux administrateurs de bureau de gérer les pools et aux utilisateurs de bureau de se connecter aux bureaux.

Deux types de groupes sont requis :

  • Groupes d'administrateurs pour les administrateurs de bureau qui utilisent le service pour fournir des bureaux.
  • Groupes d'utilisateurs pour les utilisateurs de bureau qui se connectent aux bureaux.
Ces groupes s'ajoutent au groupe d'administrateurs de location utilisé pour accorder des droits d'accès pour la création de compartiments, d'images, etc. Voir, par exemple, Gérer les images personnalisées.

L'appartenance à un groupe d'administrateurs n'autorise pas la connexion à un bureau du pool, mais uniquement la création et la gestion des pools. Un utilisateur de bureau peut se connecter à un bureau à partir de chacun des pools du compartiment auquel il est autorisé à accéder. Pour isoler les groupes d'utilisateurs, par exemple pour restreindre l'accès à un type particulier de bureau, les bureaux doivent se trouver dans des compartiments différents (reportez-vous à Présentation de l'accès des utilisateurs de bureau à un pool de bureaux) et les groupes doivent avoir accès à ces compartiments, le cas échéant. Pour plus d'informations sur la création de groupes, reportez-vous à Utilisation des groupes.

Pour une présentation des stratégies, reportez-vous à Introduction aux stratégies.

Pour créer une stratégie, reportez-vous à Création d'une stratégie à l'aide de la console.

  1. Ajoutez des stratégies pour les administrateurs de bureau :

    • Stratégie pour la famille de pools de bureaux :
      Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>

      Par exemple :

      Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Standard
Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Extra
    • Stratégie pour les ressources en lecture :
      Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>

      Par exemple :

      Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Standard
Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Extra
    • Stratégie pour la famille de réseaux virtuels :
      Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>

      Par exemple :

      Allow group Desktop_Admins to use virtual-network-family in compartment VirtualCloudNetworks
    • Stratégie pour les images d'instance :
      Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

      Par exemple :

      Allow group Desktop_Admins to use instance-images in compartment Images

  2. Ajoutez des stratégies pour les utilisateurs de bureau :

    • Stratégie pour tous les pools de bureaux d'un compartiment :
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

      Par exemple :

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
Allow group IT_Users to use published-desktops in compartment OracleLinux8Extra
    • Stratégie pour des pools de bureaux spécifiques au sein d'un compartiment :
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

      Vous pouvez éventuellement utiliser des instructions where avec les variables de contexte suivantes pour indiquer des pools de bureaux par nom ou OCID :

      • target.desktoppool.name
      • target.desktoppool.id

      Par exemple :

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.name = '<pool-name>'
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where any {target.desktoppool.name = '<pool-name_1>', target.desktoppool.name = '<pool-name_2>'...}
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.id = '<pool-ocid>'

Configuration du réseau

Configurez le réseau cloud virtuel (VCN) pour la connexion aux bureaux sécurisés.

Chaque pool de bureaux nécessite l'accès à un sous-réseau approprié pour connecter le service Secure Desktops aux instances de bureau. Ce sous-réseau peut être privé ou public. Lorsque vous créez le sous-réseau de vos pools de bureaux, assurez-vous que le nombre d'adresses IP disponibles dans le sous-réseau correspond au nombre de bureaux à provisionner. Par exemple, un sous-réseau de classe C ne peut fournir que 254 adresses IPv4.

Groupes de sécurité réseau

Lors de la création d'un pool de bureaux, Secure Desktops crée un groupe de sécurité réseau (NSG) avec des règles de sécurité qui assurent la connectivité réseau du service. Ce groupe de sécurité réseau, desktop_pool_instances_<ocid>_nsg, est uniquement visible à partir de l'instance de calcul associée au bureau.

Si vous choisissez d'utiliser des groupes de sécurité réseau supplémentaires, vous devez créer les groupes de sécurité réseau et les appliquer lorsque vous créez le pool de bureaux. Reportez-vous à Création d'un pool de bureau.

Pour plus d'informations, reportez-vous à Groupes de sécurité réseau.

Passerelle de service

Pour utiliser le module d'extension d'agent Oracle Cloud (requis pour les bureaux Windows et Linux), vous devez configurer une passerelle de service pour votre VCN. Les étapes comprennent la création de la passerelle de service, la mise à jour du routage pour le sous-réseau en ajoutant une règle de routage et l'ajout d'une règle de sécurité sortante pour autoriser le trafic souhaité. Reportez-vous à Accès aux services Oracle : passerelle de service.

Pour plus d'informations sur le module d'extension d'agent Oracle Cloud, reportez-vous à Agent Oracle Cloud.

Remarque

Si vous souhaitez activer l'accès au bureau privé, reportez-vous à Activation de l'accès au bureau privé pour connaître les exigences réseau supplémentaires.

Importation des images

Importez les images et étiquetez-les correctement afin que les bureaux sécurisés les reconnaissent comme des images à utiliser pour un pool de bureaux.

Importez des images dans le compartiment et ajoutez des balises d'image :

  • Obligatoire :

    oci:desktops:is_desktop_image true

    Cette balise permet au service de déterminer les images à afficher en tant qu'option lorsque vous créez un pool de bureaux.

  • Facultatif :
    • oci:desktops:image_os_type [Oracle Linux | Windows]
    • oci:desktops:image_version <version>

      <version> est une référence significative pour votre utilisation.

Pour plus d'informations, reportez-vous à Balises de bureau sécurisées.

Export d'images vers une autre région

Une image existe uniquement dans une seule région d'une location. Pour rendre une image disponible dans une autre région de votre location, vous devez l'exporter, puis l'importer dans l'autre région.

  1. Créez un bucket de stockage d'objet pour stocker l'image.
  2. Exportez l'image vers le bucket de stockage à l'aide du format d'image .oci.
  3. Une fois l'export terminé, passez au bucket et créez une demande pré-authentifiée pour l'image. Copiez l'URL fournie.
  4. Passez à la location et à la région de réception. Importez l'image à partir de l'URL de stockage d'objet à l'aide du type OCI.
  5. Ajoutez les balises appropriées à l'image avant de l'utiliser en tant qu'image de bureau.
  6. Après avoir importé l'image dans toutes les régions requises, vous pouvez supprimer l'objet d'image du bucket de stockage.

Allocation d'hôtes de machine virtuelle dédiés

Si l'image du pool de bureaux est destinée aux bureaux Windows, les bureaux du pool sont hébergés sur des hôtes de machine virtuelle dédiés (DVH) par défaut. Veillez à allouer suffisamment de ressources DVH dans la location pour exécuter les bureaux Windows.

Pour plus d'informations, reportez-vous à Hôtes de machine virtuelle dédiés.

Remarque

  • Si votre contrat de licence autorise la virtualisation des bureaux Windows 10/11 dans un environnement cloud, vous pouvez désactiver le provisionnement DVH en ajoutant la balise appropriée lors de la création du pool de bureaux. Reportez-vous à Balises de bureau sécurisées.
  • Secure Desktops n'alloue pas de DVH pour les pools de bureaux Linux.

Vous devez définir la limite de location pour les hôtes de machine virtuelle dédiés afin que tous les bureaux Windows puissent être provisionnés sur des machines virtuelles dédiées. Il n'est pas nécessaire de démarrer les hôtes. Les bureaux sécurisés effectuent cette opération si nécessaire.

Utilisation de formes appropriées pour les pools de bureaux

Pour les pools de bureaux Windows, c'est-à-dire les pools de bureaux qui nécessitent des hôtes de machine virtuelle dédiés, utilisez l'une des formes préférées suivantes, car elles sont pré-mappées aux formes DVH pour l'allocation d'OCPU et de mémoire :

  • Flex Low (2 OCPU, 4 Go de RAM)
  • Flex Medium (4 OCPU, 8 Go de RAM)
  • Flex High (8 OCPU, 16 Go de RAM)
Remarque

  • Lors de la création d'un pool de bureaux, Secure Desktops calcule le nombre requis d'hôtes de machine virtuelle dédiés à allouer à un pool de bureaux.
  • Lorsqu'un pool de bureaux est supprimé, tous les hôtes de machine virtuelle dédiés alloués à ce pool de bureaux sont également supprimés.

L'administrateur peut également choisir une forme de machine virtuelle spécifique dans un ensemble de formes de machine virtuelle prises en charge par l'image de pool. Dans ce cas, Secure Desktops affecte une forme DVH correspondante à l'hôte de la forme de machine virtuelle.

Le tableau suivant répertorie les formes de machine virtuelle prises en charge et les formes DVH correspondantes :

Forme de machine virtuelle Forme DVH
VM.Standard2.2 DVH.Standard2.52 :Flex faible
VM.Standard2.4 DVH.Standard2.52 :Flex Moyen
VM.Standard2.8 DVH.Standard2.52 :Flex High
VM.Standard3.Flex DVH.Standard3.64
VM.Standard.E3.Flex DVH.Standard.E3.128
VM.Standard.E4.Flex DVH.Standard.E4.128
VM.DenselIO2.8 DVH.DenseIO2.52 :Flex Low
VM.DenselIO2.16 DVH.DenseIO2.52 :Flex Moyen
VM.DenselIO2.24 DVH.DenseIO2.52 :Flex High
VM.Optimized3. Champ flexible DVH.Optimisé3.36
VM.Standard.E2.2 DVH.Standard.E2.64 :Flex Low
VM.Standard.E2.4 DVH.Standard.E2.64 :Flex Moyen
VM.Standard.E2.8 DVH.Standard.E2.64 :Flex High
Remarque

Si une forme de machine virtuelle non prise en charge est indiquée, la création du pool échoue et une erreur est renvoyée.

Si vous souhaitez spécifier une forme DVH spécifique pour vos bureaux, vous pouvez ajouter la balise appropriée lors de la création du pool de bureaux. Reportez-vous à Balises de bureau sécurisées.