Déploiement des services Microsoft Remote Desktop sur Oracle Cloud Infrastructure
La plate-forme Microsoft Remote Desktop Services (RDS) vous permet de créer des solutions de virtualisation, y compris celles qui fournissent des applications virtualisées individuelles, qui fournissent un accès sécurisé au bureau distant et permettent aux utilisateurs finaux d'exécuter leurs applications et leurs bureaux à partir du cloud.
Cette architecture de référence explique de manière générale comment tirer parti des services Oracle Cloud Infrastructure (OCI) pour déployer un environnement RDS sécurisé et hautement disponible dans le cloud.
Architecture
Un déploiement RDS standard inclut divers services de bureau distant exécutés sur des machines virtuelles Windows Server. Le diagramme ci-dessous représente certains des composants, notamment Remote Desktop Web et Remote Desktop Gateway, qui sont assis sur des sous-réseaux privés et sont exposés à Internet via deux équilibreurs de charge réseau.
Remarque :
Cette architecture de référence se concentre sur les composants d'infrastructure d'OCI qui peuvent prendre en charge le déploiement de RDS. Pour obtenir des conseils sur la configuration logicielle, reportez-vous à la documentation Microsoft.
Description de l'image rds_on_oci.png
- Région
Une région Oracle Cloud Infrastructure est une zone géographique précise qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les unes des autres et de grandes distances peuvent les séparer (dans les pays ou même les continents).
- Domaines de disponibilité
Les domaines de disponibilité sont des centres de données autonomes et indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui garantit la tolérance aux pannes. Les domaines de disponibilité ne partagent pas d'infrastructure telle que l'alimentation ou le refroidissement, ni le réseau interne du domaine de disponibilité. Ainsi, il est peu probable qu'un échec dans un domaine de disponibilité affecte les autres domaines de disponibilité de la région.
- domaines de pannes
Un domaine de pannes est un regroupement de matériel et d'infrastructures au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines de pannes avec un matériel et une alimentation indépendants. Lorsque vous répartissez des ressources entre plusieurs domaines de pannes, les applications peuvent tolérer les pannes physiques du serveur, la maintenance du système et les pannes d'alimentation au sein d'un domaine de pannes.
- Réseau cloud virtuel (VCN) et sous-réseaux
Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Tout comme les réseaux de centres de données traditionnels, les réseaux cloud virtuels vous donnent un contrôle total sur votre environnement réseau. Un VCN peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, qui peuvent être ciblés vers une région ou vers un domaine de disponibilité. Chaque sous-réseau se compose d'une plage contiguë d'adresses qui ne chevauchent pas les autres sous-réseaux du VCN. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.
- Remote Desktop Web Access (RD Web)
Un Web RD permet aux utilisateurs d'accéder à une page Web sur laquelle ils peuvent s'authentifier et accéder aux bureaux Windows et aux applications hébergées sur les hôtes de session.
- Remote Desktop Gateway (passerelle RD)
Une passerelle RD fournit un accès sécurisé aux bureaux et applications Windows pour les clients sur Internet. La passerelle RD utilise SSL pour fournir des communications chiffrées entre les clients et le serveur.
- Active Directory (AD)
Il s'agit du serveur Active Directory Domain Services qui contient tous les comptes utilisateur du domaine et qui est joint par toutes les machines virtuelles. Le serveur peut être autonome, pour l'environnement cloud ou une réplique d'un serveur sur site existant utilisant FastConnect.
- Remote Desktop Connection Broker (RD Connection Broker)
Le gestionnaire de connexions RD gère les connexions entrantes vers les groupes de serveurs hôte de session RD.
- hôte de session Remote Desktop (hôte de session RD)
L'hôte de session RD permet aux utilisateurs d'accéder aux bureaux et aux applications basés sur une session.
- Equateur de charge réseau flexible
L'équilibreur de charge réseau flexible OCI fournit une répartition de trafic automatisée à partir d'un point d'entrée vers plusieurs serveurs back-end dans vos réseaux cloud virtuels. Il fonctionne au niveau de la connexion et équilibre la charge des connexions client entrantes vers les serveurs back-end en bon état en fonction des données Layer3/Layer4 (protocole IP).
- Liste de sécurité
Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui spécifient la source, la destination et le type de trafic à autoriser à l'entrée et à la sortie du sous-réseau.
- FastConnect Oracle Cloud Infrastructure
FastConnect permet de créer facilement une connexion privée dédiée entre votre centre de données et Oracle Cloud Infrastructure. FastConnect offre des options de bande passante plus élevée et une expérience sur réseau plus fiable par rapport aux connexions Internet.
- Passerelle Internet
La passerelle Internet autorise le trafic entre les sous-réseaux publics d'un réseau VCN et le réseau Internet public.
Recommandations
- VCN
Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez de joindre aux sous-réseaux du VCN. Utilisez des blocs CIDR qui se trouvent dans l'espace d'adresses IP privées standard.
Sélectionnez les blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données on-premise ou un autre fournisseur cloud) sur lequel vous souhaitez configurer des connexions privées.
Après avoir créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.
Lorsque vous concevez les sous-réseaux, tenez compte de vos exigences en matière de flux de trafic et de sécurité. Attachez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, qui peut servir de limite de sécurité.
Utiliser des sous-réseaux régionaux.
- Groupes de sécurité réseau
Vous pouvez utiliser des groupes de sécurité réseau pour définir un ensemble de règles entrantes et sortantes qui s'appliquent à des VNIC spécifiques. Nous vous recommandons d'utiliser des groupes de sécurité réseau plutôt que des listes de sécurité, car les groupes de sécurité réseau vous permettent de séparer l'architecture de sous-réseau de VCN des exigences de sécurité de votre application.
Considérations
Tenez compte des points suivants lors du déploiement de cette architecture de référence.
- Disponibilité
Pour améliorer la disponibilité, envisagez d'utiliser différents domaines de pannes lors du déploiement de plusieurs instances de chaque rôle Remote Desktop Services.
- Licence
OCI fournit des licences pour les instances Compute exécutant Microsoft Windows Server. Pour plus d'exigences en matière de licence, consultez votre représentant Microsoft.