Documentazione di Oracle Cloud Infrastructure

Impostazione della tenancy

Per impostare la tenancy per Secure Desktops, l'amministratore della tenancy deve impostare i compartimenti, creare criteri per utenti e gruppi e configurare le immagini, lo storage e la rete disponibili da utilizzare da parte dell'amministratore desktop.

Nota

Oracle consiglia di utilizzare lo stack ORM (Secure Desktops Resource Manager) per semplificare il processo di impostazione della tenancy. Lo stack ORM supporta diversi task di processo per garantire che la tenancy sia impostata in base alle best practice.

  • Creazione di criteri, gruppi dinamici e accesso utente per il servizio Secure Desktops.
  • Creazione o inserimento delle risorse di rete esistenti.
  • Importazione di un'immagine personalizzata da utilizzare in un pool di Secure Desktops.

Scarica il file di impostazione dello stack ORM richiesto da Oracle Cloud Marketplace.

Per istruzioni sull'uso dello stack ORM, fare riferimento a OCI Secure Desktops: Come configurare la tenancy mediante lo stack ORM (KB48885).

Impostazione dei compartimenti

Impostare i compartimenti richiesti da Secure Desktops per controllare l'accesso ai pool di desktop.

  1. Rivolgersi all'amministratore del desktop per conoscere i compartimenti necessari.

    Utilizzare i compartimenti per controllare l'accesso ai desktop. Ad esempio, è probabile che sia necessario un compartimento per pool di desktop e che siano presenti più pool di desktop. Vedere Informazioni sull'accesso degli utenti desktop a un pool di desktop e Pool desktop. Potrebbe anche essere necessario utilizzare i compartimenti per mantenere separate altre risorse.

  2. Creare compartimenti come descritto in Ulteriori informazioni sulle best practice per l'impostazione della tenancy.

Creazione dei criteri per il servizio

Definire un gruppo dinamico e aggiungere criteri per consentire l'esecuzione del servizio Secure Desktops all'interno della tenancy.

  1. Aggiungere un gruppo dinamico per i pool di desktop nei compartimenti gestiti. Per istruzioni sulla creazione dei gruppi dinamici, vedere Gestione dei gruppi dinamici. Per definire il gruppo dinamico utilizzando i compartimenti, attenersi alla procedura riportata di seguito.
    1. Assegnare al gruppo dinamico un nome che verrà utilizzato nelle istruzioni dei criteri, ad esempio DesktopPoolsDynamicGroup.
    2. Scegliere l'opzione Corrispondenza con tutte le regole definite di seguito per il gruppo dinamico.
    3. Aggiungere la seguente regola di corrispondenza per identificare la risorsa pool di desktop: 
      resource.type = 'desktoppool'
    4. Facoltativamente, aggiungere un'ulteriore regola di corrispondenza per identificare i compartimenti che conterranno pool di desktop: 
      Any {resource.compartment.id = '<ocid>', resource.compartment.id = '<ocid>'}

      Dove <ocid> è l'ID risorsa per ogni compartimento. Ad esempio:

      Any {resource.compartment.id = '<OCID-OracleLinux8Standard>', resource.compartment.id = '<OCID-OracleLinux8Extra>'}
  2. Nel compartimento radice aggiungere i criteri riportati di seguito per ogni gruppo dinamico aggiunto. Ciò consente ai pool di desktop nei gruppi dinamici di accedere alle risorse necessarie a livello di tenancy.

    Per un'introduzione ai criteri, consulta la guida introduttiva ai criteri.

    Per creare un criterio, vedere Creare un criterio con la console.

    Negli esempi riportati di seguito, i gruppi dinamici vengono valutati come se appartenessero al dominio di Identity predefinito. Se si utilizza un dominio di Identity non predefinito, è necessario includere il nome del dominio di Identity prima del gruppo dinamico nell'istruzione del criterio. Per ulteriori informazioni, inclusi esempi di sintassi, vedere Sintassi dei criteri.

    Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

    Dove <dynamic-group> è il nome del gruppo dinamico che specifica un set di pool di desktop.

  3. Nel compartimento radice o al di sopra dei compartimenti del pool di desktop gestiti, aggiungere i criteri riportati di seguito per consentire ai pool di desktop in ogni gruppo dinamico di interagire con le risorse necessarie.

    Per creare un criterio, vedere Creare un criterio con la console.

    Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
    Dove:
    • <dynamic-group> è il nome del gruppo dinamico che specifica un set di pool di desktop.
    • <desktops-network-compartment> è il nome del compartimento contenente la VCN utilizzata dai pool di desktop. Se questo compartimento non è figlio dei compartimenti sopra i compartimenti del pool di desktop, è necessario specificare il criterio nel compartimento radice.
    • <image-compartment> è il nome del compartimento contenente le istanze delle immagini desktop utilizzate dai pool di desktop. Se questo compartimento non è figlio dei compartimenti sopra i compartimenti del pool di desktop, è necessario specificare il criterio nel compartimento radice.
    • <desktop-compartment> è il nome di uno dei seguenti elementi:
      • Compartimento contenente pool di desktop e volumi e risorse di storage associati.
      • Elemento padre dei compartimenti contenenti pool di desktop.
    Nota

    Se si prevede di creare pool di desktop privati, potrebbero essere necessari criteri aggiuntivi. Per ulteriori informazioni, vedere Abilitazione dell'accesso al desktop privato.

    Questo esempio mostra i criteri necessari per due desktop in due compartimenti indipendenti, OracleLinux8Standard e OracleLinux8Extra. Se tutti i compartimenti di un padre comune utilizzano gli stessi criteri, puoi elencarli una volta utilizzando il compartimento padre per evitare la necessità di duplicazioni.

    Allow dynamic-group DesktopPoolDynamicGroup to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect users in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect compartments in tenancy
Allow dynamic-group DesktopPoolDynamicGroup to use tag-namespaces in tenancy

Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment VirtualCloudNetworks
Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment Images

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Standard

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Extra

Creazione dei criteri per l'autorizzazione utente

Impostare l'accesso utente appropriato per consentire agli amministratori desktop di gestire pool e agli utenti desktop di connettersi ai desktop.

Sono necessari due tipi di gruppi:

  • Gruppi di amministratori per gli amministratori desktop che utilizzano il servizio per fornire desktop.
  • Gruppi di utenti per gli utenti desktop che si connettono ai desktop.
Questi gruppi si aggiungono al gruppo di amministratori della tenancy utilizzato per concedere l'autorizzazione per la creazione di compartimenti, immagini e così via. Vedere, ad esempio, Gestisci immagini personalizzate.

L'appartenenza a un gruppo di amministratori non concede l'autorizzazione per connettersi a un desktop nel pool, ma solo per creare e gestire i pool. Un utente desktop può connettersi a un desktop da ciascuno dei pool all'interno del compartimento a cui è autorizzato ad accedere. Per isolare i gruppi di utenti, ad esempio per limitare l'accesso a un determinato tipo di desktop, i desktop devono trovarsi in compartimenti diversi (vedere Informazioni sull'accesso degli utenti desktop a un pool di desktop) e i gruppi devono avere accesso a tali compartimenti in base alle esigenze. Per informazioni sulla creazione dei gruppi, vedere Utilizzo dei gruppi.

Per un'introduzione ai criteri, consulta la guida introduttiva ai criteri.

Per creare un criterio, vedere Creare un criterio con la console.

  1. Aggiungere criteri per gli amministratori desktop:

    • Criteri per la famiglia di pool di desktop:
      Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>

      Ad esempio:

      Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Standard
Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Extra
    • Criterio per le risorse di lettura:
      Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>

      Ad esempio:

      Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Standard
Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Extra
    • Criteri per la famiglia di reti virtuali:
      Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>

      Ad esempio:

      Allow group Desktop_Admins to use virtual-network-family in compartment VirtualCloudNetworks
    • Criterio per le immagini dell'istanza:
      Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

      Ad esempio:

      Allow group Desktop_Admins to use instance-images in compartment Images

  2. Aggiungere criteri per gli utenti desktop:

    • Criterio per tutti i pool di desktop all'interno di un compartimento:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

      Ad esempio:

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
Allow group IT_Users to use published-desktops in compartment OracleLinux8Extra
    • Criterio per pool di desktop specifici all'interno di un compartimento:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

      Facoltativamente, utilizzare le istruzioni where insieme alle seguenti variabili di contesto per specificare uno o più pool di desktop in base al nome o all'OCID:

      • target.desktoppool.name
      • target.desktoppool.id

      Ad esempio:

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.name = '<pool-name>'
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where any {target.desktoppool.name = '<pool-name_1>', target.desktoppool.name = '<pool-name_2>'...}
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.id = '<pool-ocid>'

Configurazione della rete

Impostare la rete VCN (Virtual Cloud Network) per connettersi a Secure Desktops.

Ogni pool di desktop richiede l'accesso a una subnet adatta per connettere il servizio Secure Desktops alle istanze desktop. Questa subnet può essere privata o pubblica. Quando si crea la sottorete per i pool di desktop, assicurarsi che il numero di indirizzi IP disponibili nella sottorete corrisponda al numero di desktop di cui si desidera eseguire il provisioning. Ad esempio, una subnet di classe C può fornire solo 254 indirizzi IPv4.

Gruppi di sicurezza di rete

Durante la creazione del pool di desktop, Secure Desktops crea un gruppo di sicurezza di rete (NSG) con regole di sicurezza che forniscono la connettività di rete per il servizio. Questo gruppo NSG, desktop_pool_instances_<ocid>_nsg, è visibile solo dall'istanza di computazione associata al desktop.

Se si sceglie di utilizzare altri gruppi NSG, è necessario creare i gruppi NSG e applicarli quando si crea il pool di desktop. Vedere Parametri del pool di desktop.

Per ulteriori informazioni, vedere Network Security Groups.

Gateway del servizio

Per utilizzare il plugin Agente Oracle Cloud (obbligatorio per i desktop Windows e Linux), è necessario impostare un gateway di servizi per la rete VCN in uso. I passi includono la creazione del gateway del servizio, l'aggiornamento dell'instradamento per la subnet mediante l'aggiunta di una regola di instradamento e l'aggiunta di una regola di sicurezza di uscita per consentire il traffico desiderato. Vedere Accesso ai servizi Oracle: gateway del servizio.

Per ulteriori informazioni sul plugin Oracle Cloud Agent, vedere Oracle Cloud Agent.

Nota

Se si desidera abilitare l'accesso al desktop privato, vedere Abilitazione dell'accesso al desktop privato per ulteriori requisiti di rete.

Importazione immagini in corso

Importa le immagini e taggale correttamente in modo che Secure Desktops le riconosca come immagini da utilizzare per un pool di desktop.

Importare immagini nel compartimento e aggiungere tag immagine:

  • Richiesta:

    oci:desktops:is_desktop_image true

    Questo tag consente al servizio di determinare le immagini da visualizzare come opzione quando si crea un pool di desktop.

  • Facoltativo:
    • oci:desktops:image_os_type [Oracle Linux | Windows]
    • oci:desktops:image_version <version>

      dove <version> è un riferimento significativo per il vostro utilizzo.

Per ulteriori informazioni, vedere Tag Secure Desktops.

Esportazione di immagini in un'altra area

Un'immagine esiste solo all'interno di una singola area di una tenancy. Se si desidera rendere disponibile un'immagine in un'altra area della tenancy, è necessario esportare l'immagine e quindi importarla nell'altra area.

  1. Creare un bucket di storage degli oggetti per memorizzare l'immagine.
  2. Esportare l'immagine nel bucket di storage utilizzando il formato immagine .oci.
  3. Al termine dell'esportazione, passare al bucket e creare una richiesta preautenticata per l'immagine. Copiare l'URL fornito.
  4. Passa alla tenancy e all'area di ricezione. Importare l'immagine dall'URL di storage degli oggetti utilizzando il tipo OCI.
  5. Aggiungere i tag appropriati all'immagine prima di utilizzarla come immagine del desktop.
  6. Dopo aver importato l'immagine in tutte le aree necessarie, puoi eliminare l'oggetto immagine dal bucket di storage.

Allocazione di host Virtual Machine dedicati

Se l'immagine del pool di desktop è per desktop Windows, per impostazione predefinita i desktop del pool saranno ospitati su host Virtual Machine dedicati (DVH). Assicurarsi di allocare una quantità sufficiente di risorse DVH nella tenancy per eseguire i desktop Windows.

Per ulteriori informazioni, vedere Host Virtual Machine dedicati.

Nota

  • Se il contratto di licenza consente di virtualizzare i desktop Windows 10/11 in un ambiente cloud, è possibile disabilitare il provisioning DVH aggiungendo la tag appropriata durante la creazione del pool di desktop. Vedere Tag Secure Desktops.
  • Secure Desktops non alloca DVH per i pool di desktop Linux.

È necessario impostare il limite della tenancy per gli host virtual machine dedicati per abilitare il provisioning di tutti i desktop Windows nelle virtual machine dedicate. Non è necessario avviare gli host, Secure Desktops lo fa come richiesto.

Usa forme appropriate per i pool di desktop

Per i pool di desktop Windows, ovvero i pool di desktop che richiedono host di virtual machine dedicati, utilizzare una delle forme preferite riportate di seguito poiché sono pre-mappati alle forme DVH per l'allocazione di OCPU e memoria.

  • Flex Low (2 OCPU, 4 GB di RAM)
  • Flex medium (4 OCPU, 8 GB di RAM)
  • Flex High (8 OCPU, 16 GB di RAM)
Nota

  • Durante la creazione del pool di desktop, Secure Desktops calcola il numero richiesto di host di virtual machine dedicati da allocare per un pool di desktop.
  • Quando si elimina un pool di desktop, vengono eliminati anche tutti gli host virtual machine dedicati allocati per tale pool di desktop.

In alternativa, l'amministratore può scegliere una forma VM specifica da un set di forme VM supportate dall'immagine del pool. In questo caso, Secure Desktops assegna una forma DVH corrispondente per ospitare la forma VM.

La tabella seguente elenca le forme VM supportate e le relative forme DVH corrispondenti:

Forma VM Forma DVH
VM.Standard2.2 DVH.Standard2.52:Flex basso
VM.Standard2.4 DVH.Standard2.52:Flex medio
VM.Standard2.8 DVH.Standard2.52:Flex alto
VM.Standard3. Flexfield DVH.Standard3.64
VM.Standard.E3. Flexfield DVH.Standard.E3.128
VM.Standard.E4. Flexfield DVH.Standard.E4.128
VM.DenselIO2.8 DVH.DenseIO2.52: Flex basso
VM.DenselIO2.16 DVH.DenseIO2.52:Flex Medium
VM.DenselIO2.24 DVH.DenseIO2.52: alto flessibile
VM.Optimized3. Flexfield DVH.Ottimizzato3.36
VM.Standard.E2.2 DVH.Standard.E2.64:Flex basso
VM.Standard.E2.4 DVH.Standard.E2.64:Flex medio
VM.Standard.E2.8 DVH.Standard.E2.64:Flex alto
Nota

Se viene specificata una forma VM non supportata, la creazione del pool non riesce e viene restituito un errore.

Se si desidera specificare una forma DVH specifica per i desktop, è possibile aggiungere la tag appropriata durante la creazione del pool di desktop. Vedere Tag Secure Desktops.