Documentation Oracle Cloud Infrastructure

Configuration de la location

Afin de configurer la location pour les bureaux sécurisés, l'administrateur de location doit configurer des compartiments, créer des stratégies pour les utilisateurs et les groupes, et configurer les images, le stockage et le réseau disponibles pour l'administrateur de bureau.

Remarque

Oracle recommande d'utiliser la pile ORM (Secure Desktops Resource Manager) pour simplifier le processus de configuration de la location. La pile ORM facilite plusieurs tâches de processus pour garantir que la location est configurée conformément aux meilleures pratiques.

  • Création de stratégies, de groupes dynamiques et d'accès utilisateur pour le service Secure Desktops.
  • Création ou intégration de ressources réseau existantes.
  • Import d'une image personnalisée à utiliser dans un pool de bureaux sécurisés.

Téléchargez le fichier de configuration de pile ORM requis à partir d'Oracle Cloud Marketplace.

Pour obtenir des instructions sur l'utilisation de la pile ORM, reportez-vous à OCI Secure Desktops : How To Configure Tenancy Using ORM Stack (KB48885).

Configuration des compartiments

Configurez les compartiments requis par les bureaux sécurisés pour contrôler l'accès aux pools de bureaux.

  1. Contactez l'administrateur de bureau pour savoir quels compartiments sont requis.

    Utilisez des compartiments pour contrôler l'accès aux bureaux. Par exemple, vous aurez probablement besoin d'un compartiment par pool de bureaux et il y aura plusieurs pools de bureaux. Reportez-vous aux sections Understanding Desktop User Access to a Desktop Pool et Desktop Pools. Vous devrez peut-être également utiliser des compartiments pour séparer les autres ressources.

  2. Créez des compartiments comme décrit dans En savoir plus sur les meilleures pratiques pour configurer votre location.

Création de stratégies pour le service

Définissez un groupe dynamique et ajoutez des stratégies pour autoriser l'exécution du service Secure Desktops dans la location.

  1. Ajoutez un groupe dynamique pour les pools de bureaux dans les compartiments que vous gérez. Pour obtenir des instructions sur la création de groupes dynamiques, voir Gérer les groupes dynamiques. Pour définir le groupe dynamique à l'aide de compartiments, procédez comme suit :
    1. Attribuez au groupe dynamique un nom que vous utiliserez dans les instructions de stratégie, par exemple DesktopPoolDynamicGroup.
    2. Choisissez l'option Mettre en correspondance toutes les règles définies ci-dessous pour le groupe dynamique.
    3. Ajoutez la règle de mise en correspondance suivante pour identifier la ressource de pool de bureaux : 
      resource.type = 'desktoppool'
    4. Vous pouvez éventuellement ajouter une règle de mise en correspondance supplémentaire pour identifier les compartiments qui contiendront des pools de bureaux : 
      Any {resource.compartment.id = '<ocid>', resource.compartment.id = '<ocid>'}

      <ocid> est l'ID de ressource de chaque compartiment. Exemple :

      Any {resource.compartment.id = '<OCID-OracleLinux8Standard>', resource.compartment.id = '<OCID-OracleLinux8Extra>'}
  2. Dans le compartiment racine, ajoutez les stratégies suivantes pour chaque groupe dynamique ajouté. Cela permet aux pools de bureaux des groupes dynamiques d'accéder aux ressources de niveau location requises.

    Pour obtenir une introduction aux stratégies, reportez-vous à Initiation aux stratégies.

    Pour créer une stratégie, reportez-vous à Création d'une stratégie avec la console.

    Dans les exemples suivants, les groupes dynamiques sont évalués comme s'ils appartenaient au domaine d'identité par défaut. Si vous utilisez un domaine d'identité autre que celui par défaut, vous devez inclure le nom du domaine d'identité avant le groupe dynamique dans l'instruction de stratégie. Pour plus d'informations, y compris des exemples de syntaxe, reportez-vous à Syntaxe de stratégie.

    Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

    <dynamic-group> est le nom du groupe dynamique spécifiant un ensemble de pools de bureaux.

  3. Dans le compartiment racine ou au-dessus des compartiments de pool de bureaux que vous gérez, ajoutez les stratégies suivantes pour permettre aux pools de bureaux de chaque groupe dynamique d'interagir avec les ressources nécessaires.

    Pour créer une stratégie, reportez-vous à Création d'une stratégie avec la console.

    Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
    Où :
    • <dynamic-group> est le nom du groupe dynamique spécifiant un ensemble de pools de bureaux.
    • <desktops-network-compartment> est le nom du compartiment contenant le VCN utilisé par les pools de bureaux. Si ce compartiment n'est pas un enfant des compartiments situés au-dessus des compartiments de pool de bureaux, la stratégie doit être indiquée dans le compartiment racine.
    • <image-compartment> est le nom du compartiment contenant les instances d'image de bureau utilisées par les pools de bureaux. Si ce compartiment n'est pas un enfant des compartiments au-dessus des compartiments de pool de bureaux, la stratégie doit être indiquée dans le compartiment racine.
    • <desktop-compartment> est le nom de l'un des éléments suivants :
      • Compartiment contenant les pools de bureaux, les volumes de stockage et les ressources associés.
      • Parent des compartiments contenant des pools de bureaux.
    Remarque

    Si vous prévoyez de créer des pools de bureaux privés, des stratégies supplémentaires peuvent être requises. Pour plus d'informations, reportez-vous à la section Enabling Private Desktop Access.

    Cet exemple présente les stratégies requises pour deux bureaux dans deux compartiments indépendants, OracleLinux8Standard et OracleLinux8Extra. Si tous les compartiments d'un parent commun utilisent les mêmes stratégies, vous pouvez les répertorier une fois à l'aide du compartiment parent afin d'éviter la duplication.

    Allow dynamic-group DesktopPoolDynamicGroup to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect users in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect compartments in tenancy
Allow dynamic-group DesktopPoolDynamicGroup to use tag-namespaces in tenancy

Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment VirtualCloudNetworks
Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment Images

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Standard

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Extra

Création de stratégies pour l'autorisation utilisateur

Configurez l'accès utilisateur approprié pour permettre aux administrateurs de bureau de gérer les pools et aux utilisateurs de bureau de se connecter aux bureaux.

Deux types de groupe sont requis :

  • Groupes d'administrateurs pour les administrateurs de bureau qui utilisent le service pour fournir des bureaux.
  • Groupes d'utilisateurs pour les utilisateurs de bureau qui se connectent aux bureaux.
Ces groupes s'ajoutent au groupe d'administrateurs de location utilisé pour accorder des droits d'accès permettant de créer des compartiments, des images, etc. Reportez-vous, par exemple, à Gérer les images personnalisées.

L'appartenance à un groupe d'administrateurs n'autorise pas la connexion à un bureau du pool, mais uniquement la création et la gestion des pools. Un utilisateur de bureau peut se connecter à un bureau à partir de chacun des pools du compartiment auquel il est autorisé à accéder. Pour isoler les groupes d'utilisateurs, par exemple pour restreindre l'accès à un type particulier de bureau, les bureaux doivent se trouver dans des compartiments différents (reportez-vous à Présentation de l'accès des utilisateurs de bureau à un pool de bureaux) et les groupes doivent avoir accès à ces compartiments, le cas échéant. Pour plus d'informations sur la création de groupes, reportez-vous à Utilisation des groupes.

Pour obtenir une introduction aux stratégies, reportez-vous à Initiation aux stratégies.

Pour créer une stratégie, reportez-vous à Création d'une stratégie avec la console.

  1. Ajoutez des stratégies pour les administrateurs de bureau :

    • Stratégie pour la famille de pools de bureaux :
      Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>

      Exemple :

      Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Standard
Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Extra
    • Stratégie pour les ressources de lecture :
      Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>

      Exemple :

      Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Standard
Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Extra
    • Stratégie pour la famille de réseaux virtuels :
      Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>

      Exemple :

      Allow group Desktop_Admins to use virtual-network-family in compartment VirtualCloudNetworks
    • Stratégie pour les images d'instance :
      Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

      Exemple :

      Allow group Desktop_Admins to use instance-images in compartment Images

  2. Ajoutez des stratégies pour les utilisateurs de bureau :

    • Stratégie pour tous les pools de bureaux d'un compartiment :
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

      Exemple :

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
Allow group IT_Users to use published-desktops in compartment OracleLinux8Extra
    • Stratégie pour des pools de bureaux spécifiques au sein d'un compartiment :
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

      Vous pouvez éventuellement utiliser des instructions where avec les variables de contexte suivantes pour indiquer des pools de bureau par nom ou OCID :

      • target.desktoppool.name
      • target.desktoppool.id

      Exemple :

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.name = '<pool-name>'
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where any {target.desktoppool.name = '<pool-name_1>', target.desktoppool.name = '<pool-name_2>'...}
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.id = '<pool-ocid>'

Configuration du réseau

Configurez le réseau cloud virtuel (VCN) pour vous connecter à Secure Desktops.

Chaque pool de bureaux nécessite l'accès à un sous-réseau approprié pour connecter le service Secure Desktops aux instances de bureau. Ce sous-réseau peut être privé ou public. Lors de la création du sous-réseau pour vos pools de bureaux, assurez-vous que le nombre d'adresses IP disponibles dans le sous-réseau correspond au nombre de bureaux à provisionner. Par exemple, un sous-réseau de classe C ne peut fournir que 254 adresses IPv4.

Groupes de sécurité réseau

Lors de la création du pool de bureaux, Secure Desktops crée un groupe de sécurité réseau avec des règles de sécurité qui fournissent la connectivité réseau pour le service. Ce groupe de sécurité réseau, desktop_pool_instances_<ocid>_nsg, est uniquement visible à partir de l'instance de calcul associée au bureau.

Si vous choisissez d'utiliser des groupes de sécurité réseau supplémentaires, vous devez les créer et les appliquer lors de la création du pool de bureaux. Reportez-vous à la section Desktop Pool Parameters.

Pour plus d'informations, reportez-vous à Groupes de sécurité réseau.

Passerelle de service

Pour utiliser le module d'extension d'agent Oracle Cloud (requis pour les bureaux Windows et Linux), vous devez configurer une passerelle de service pour votre VCN. Les étapes incluent la création de la passerelle de service, la mise à jour du routage pour le sous-réseau en ajoutant une règle de routage et l'ajout d'une règle de sécurité sortante pour autoriser le trafic souhaité. Reportez-vous à Accès aux services Oracle : passerelle de service.

Pour plus d'informations sur le module d'extension d'agent Oracle Cloud, reportez-vous à Agent Oracle Cloud.

Remarque

Si vous souhaitez activer l'accès au bureau privé, reportez-vous à Activation de l'accès au bureau privé pour connaître les exigences réseau supplémentaires.

Importation des images

Importez les images et marquez-les correctement afin que Secure Desktops les reconnaisse comme des images à utiliser pour un pool de bureaux.

Importez des images dans le compartiment et ajoutez des balises d'image :

  • Obligatoire :

    oci:desktops:is_desktop_image true

    Cette balise permet au service de déterminer les images à afficher en option lorsque vous créez un pool de bureaux.

  • facultatif :
    • oci:desktops:image_os_type [Oracle Linux | Windows]
    • oci:desktops:image_version <version>

      <version> est une référence pertinente pour votre utilisation.

Pour plus d'informations, reportez-vous à Balises de bureaux sécurisés.

Export d'images vers une autre région

Une image n'existe que dans une seule région d'une location. Si vous voulez rendre une image disponible dans une autre région de votre location, vous devez exporter l'image, puis l'importer dans l'autre région.

  1. Créez un bucket de stockage d'objet pour stocker l'image.
  2. Exportez l'image vers le bucket de stockage à l'aide du format d'image .oci.
  3. Une fois l'export terminé, basculez vers le bucket et créez une demande pré-authentifiée pour l'image. Copiez l'URL fournie.
  4. Basculez vers la location et la région de réception. Importez l'image à partir de l'URL de stockage d'objet à l'aide du type OCI.
  5. Ajoutez les balises appropriées à l'image avant de l'utiliser comme image de bureau.
  6. Après avoir importé l'image dans toutes les régions requises, vous pouvez supprimer l'objet d'image du bucket de stockage.

Allocation d'hôtes de machine virtuelle dédiés

Si l'image du pool de bureaux est destinée aux bureaux Windows, les bureaux du pool sont hébergés sur des hôtes de machine virtuelle dédiés (DVH) par défaut. Veillez à allouer suffisamment de ressources DVH dans la location pour exécuter les bureaux Windows.

Pour plus d'informations, reportez-vous à Hôtes de machine virtuelle dédiés.

Remarque

  • Si votre contrat de licence autorise la virtualisation des bureaux Windows 10/11 dans un environnement cloud, vous pouvez désactiver le provisionnement DVH en ajoutant la balise appropriée lors de la création du pool de bureaux. Reportez-vous à Balises de bureaux sécurisés.
  • Les bureaux sécurisés n'allouent pas de DVH pour les pools de bureaux Linux.

Vous devez définir la limite de location pour les hôtes de machine virtuelle dédiés afin de permettre le provisionnement de tous les bureaux Windows sur des machines virtuelles dédiées. Vous n'avez pas besoin de démarrer les hôtes. Secure Desktops effectue cette opération si nécessaire.

Utilisation de formes appropriées pour les pools de bureaux

Pour les pools de bureaux Windows, c'est-à-dire les pools de bureaux qui nécessitent des hôtes de machine virtuelle dédiés, utilisez l'une des formes préférées suivantes, car elles sont pré-mappées aux formes DVH pour l'allocation d'OCPU et de mémoire :

  • Flex Low (2 OCPU, 4 Go de RAM)
  • Moyen flexible (4 OCPU, 8 Go de RAM)
  • Flex High (8 OCPU, 16 Go de RAM)
Remarque

  • Lors de la création d'un pool de bureaux, Secure Desktops calcule le nombre requis d'hôtes de machines virtuelles dédiés à allouer à un pool de bureaux.
  • Lorsqu'un pool de bureaux est supprimé, tous les hôtes de machine virtuelle dédiés alloués pour ce pool de bureaux sont également supprimés.

L'administrateur peut également choisir une forme de machine virtuelle spécifique dans un ensemble de formes de machine virtuelle pris en charge par l'image de pool. Dans ce cas, Secure Desktops affecte une forme DVH correspondante à l'hôte de la forme de machine virtuelle.

Le tableau suivant répertorie les formes de machine virtuelle prises en charge et leurs formes DVH correspondantes :

Forme de machine virtuelle Forme DVH
VM.Standard2.2 DVH.Standard2.52 : Flex faible
VM.Standard2.4 DVH.Standard2.52 : Moyen flexible
VM.Standard2.8 DVH.Standard2.52 : Flex élevé
VM.Standard3. Champ flexible DVH.Standard3.64
VM.Standard.E3. Champ flexible DVH.Standard.E3.128
VM.Standard.E4Champ flexible DVH.Standard.E4.128
VM.DenselIO2.8 DVH.DenseIO2.52 :Flex faible
VM.DenselIO2.16 DVH.DenseIO2.52 : Moyen flexible
VM.DenselIO2.24 DVH.DenseIO2.52 : Élevé flexible
VM.Optimized3. Champ flexible DVH.Optimisé3.36
VM.Standard.E2.2 DVH.Standard.E2.64 : Flex Low
VM.Standard.E2.4 DVH.Standard.E2.64 : Moyen flexible
VM.Standard.E2.8 DVH.Standard.E2.64 : Élevé flexible
Remarque

Si une forme de machine virtuelle non prise en charge est indiquée, la création du pool échoue et une erreur est renvoyée.

Si vous souhaitez spécifier une forme DVH spécifique pour vos bureaux, vous pouvez ajouter la balise appropriée lors de la création du pool de bureaux. Reportez-vous à Balises de bureaux sécurisés.