Documentazione dell'infrastruttura Oracle Cloud

Impostazione della tenancy

Per impostare la tenancy per Secure Desktops, l'amministratore della tenancy deve impostare i compartimenti, creare criteri per utenti e gruppi e configurare le immagini, lo storage e la rete disponibili che l'amministratore del desktop può utilizzare.

Nota

Oracle consiglia di utilizzare lo stack ORM (Secure Desktops Resource Manager) per semplificare il processo di impostazione della tenancy. Lo stack ORM assiste con diversi task di processo per garantire che la tenancy venga impostata in base alle best practice.

  • Creazione di criteri, gruppi dinamici e accesso utente per il servizio Secure Desktops.
  • Creazione o inserimento di risorse di rete esistenti.
  • Importazione di un'immagine personalizzata da utilizzare in un pool di desktop sicuri.

Scarica il file di impostazione dello stack ORM richiesto da Oracle Cloud Marketplace.

Per istruzioni sull'uso dello stack ORM, fare riferimento a OCI Secure Desktops: How To Configure Tenancy Using ORM Stack (KB48885).

Impostazione dei compartimenti

Impostare i compartimenti richiesti dai Secure Desktops per controllare l'accesso ai pool di desktop.

  1. Collaborare con l'amministratore del desktop per capire quali compartimenti sono necessari.

    Utilizza i compartimenti per controllare l'accesso ai desktop. Ad esempio, è probabile che sia necessario un compartimento per pool di desktop e che siano presenti più pool di desktop. Vedere Informazioni sull'accesso degli utenti desktop a un pool di desktop e Pool desktop. Potrebbe inoltre essere necessario utilizzare i compartimenti per mantenere separate altre risorse.

  2. Creare compartimenti come descritto nella sezione Informazioni sulle procedure ottimali per l'impostazione della tenancy.

Creazione dei criteri per il servizio

Definire un gruppo dinamico e aggiungere criteri per consentire l'esecuzione del servizio Secure Desktops all'interno della tenancy.

  1. Aggiungere un gruppo dinamico per i pool di desktop nei compartimenti gestiti. Per istruzioni sulla creazione di gruppi dinamici, vedere Gestione dei gruppi dinamici. Per definire il gruppo dinamico utilizzando i compartimenti, effettuare le operazioni riportate di seguito.
    1. Assegnare al gruppo dinamico un nome che verrà utilizzato nelle istruzioni dei criteri, ad esempio DesktopPoolDynamicGroup.
    2. Scegliere l'opzione Corrispondenza di tutte le regole definite di seguito per il gruppo dinamico.
    3. Aggiungere la regola di corrispondenza seguente per identificare la risorsa del pool di desktop: 
      resource.type = 'desktoppool'
    4. Facoltativamente, aggiungere un'ulteriore regola di corrispondenza per identificare i compartimenti che conterranno pool di desktop: 
      Any {resource.compartment.id = '<ocid>', resource.compartment.id = '<ocid>'}

      Dove <ocid> è l'ID risorsa per ogni compartimento. Ad esempio:

      Any {resource.compartment.id = '<OCID-OracleLinux8Standard>', resource.compartment.id = '<OCID-OracleLinux8Extra>'}
  2. Nel compartimento radice, aggiungere i criteri seguenti per ogni gruppo dinamico aggiunto. Ciò consente ai pool di desktop nei gruppi dinamici di accedere alle risorse necessarie a livello di tenancy.

    Per un'introduzione ai criteri, vedere Guida introduttiva ai criteri.

    Per creare un criterio, vedere Creazione di un criterio con la console.

    Negli esempi seguenti, i gruppi dinamici vengono valutati come appartenenti al dominio di Identity predefinito. Se si utilizza un dominio di Identity non predefinito, è necessario includere il nome del dominio di Identity prima del gruppo dinamico nell'istruzione dei criteri. Per ulteriori informazioni, inclusi esempi di sintassi, vedere Sintassi dei criteri.

    Allow dynamic-group <dynamic-group> to {DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

    Dove <dynamic-group> è il nome del gruppo dinamico che specifica un set di pool di desktop.

  3. Nel compartimento radice o nel compartimento sopra i compartimenti del pool di desktop gestiti, aggiungere i criteri riportati di seguito per consentire ai pool di desktop in ogni gruppo dinamico di interagire con le risorse necessarie.

    Per creare un criterio, vedere Creare un criterio con la console.

    Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
    Posizione:
    • <dynamic-group> è il nome del gruppo dinamico che specifica un set di pool di desktop.
    • <desktops-network-compartment> è il nome del compartimento contenente la VCN utilizzata dai pool di desktop. Se questo compartimento non è figlio dei compartimenti sopra i compartimenti del pool di desktop, il criterio deve essere specificato nel compartimento radice.
    • <image-compartment> è il nome del compartimento contenente le istanze dell'immagine desktop utilizzate dai pool di desktop. Se questo compartimento non è figlio dei compartimenti sopra i compartimenti del pool di desktop, il criterio deve essere specificato nel compartimento radice.
    • <desktop-compartment> è il nome di uno dei seguenti elementi:
      • Compartimento contenente i pool di desktop e i volumi e le risorse di storage associati.
      • Elemento padre dei compartimenti contenenti pool di desktop.
    Nota

    Se si intende creare pool di desktop privati, potrebbero essere necessari criteri aggiuntivi. Per ulteriori informazioni, vedere Abilitazione dell'accesso a Private Desktop.

    Questo esempio mostra i criteri richiesti per due desktop in due compartimenti indipendenti, OracleLinux8Standard e OracleLinux8Extra. Se tutti i compartimenti di un elemento padre comune utilizzano gli stessi criteri, è possibile elencarli una volta utilizzando il compartimento padre per evitare la necessità di duplicazioni.

    Allow dynamic-group DesktopPoolDynamicGroup to {DOMAIN_READ} in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect users in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect compartments in tenancy
Allow dynamic-group DesktopPoolDynamicGroup to use tag-namespaces in tenancy

Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment VirtualCloudNetworks
Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment Images

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Standard

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Extra

Creazione di criteri per l'autorizzazione utente

Impostare l'accesso utente appropriato per consentire agli amministratori desktop di gestire i pool e gli utenti desktop per la connessione ai desktop.

Sono necessari due tipi di gruppi:

  • Gruppi di amministratori per gli amministratori del desktop che utilizzano il servizio per fornire i desktop.
  • Gruppi di utenti per gli utenti desktop che si connettono ai desktop.
Questi gruppi si aggiungono al gruppo di amministratori della tenancy utilizzato per concedere l'autorizzazione per la creazione di compartimenti, immagini e così via. Vedere, ad esempio, Gestisci immagini personalizzate.

L'appartenenza a un gruppo di amministratori non concede l'autorizzazione per connettersi a un desktop nel pool, ma solo per creare e gestire i pool. Un utente desktop può connettersi a un desktop da ciascun pool all'interno del compartimento a cui è autorizzato ad accedere. Per isolare i gruppi di utenti, ad esempio per limitare l'accesso a un determinato tipo di desktop, i desktop devono trovarsi in compartimenti diversi (vedere Informazioni sull'accesso degli utenti desktop a un pool di desktop) e i gruppi devono disporre dell'accesso a tali compartimenti in base alle esigenze. Per informazioni sulla creazione di gruppi, vedere Utilizzo dei gruppi.

Per un'introduzione ai criteri, vedere Guida introduttiva ai criteri.

Per creare un criterio, vedere Creare un criterio con la console.

  1. Aggiungere criteri per gli amministratori del desktop:

    • Criterio per la famiglia di pool di desktop:
      Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>

      Ad esempio:

      Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Standard
Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Extra
    • Criterio per la lettura delle risorse:
      Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>

      Ad esempio:

      Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Standard
Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Extra
    • Criterio per la famiglia di reti virtuali:
      Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>

      Ad esempio:

      Allow group Desktop_Admins to use virtual-network-family in compartment VirtualCloudNetworks
    • Criterio per le immagini delle istanze:
      Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

      Ad esempio:

      Allow group Desktop_Admins to use instance-images in compartment Images

  2. Aggiungere criteri per gli utenti desktop:

    • Criterio per tutti i pool di desktop in un compartimento:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

      Ad esempio:

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
Allow group IT_Users to use published-desktops in compartment OracleLinux8Extra
    • Criteri per pool di desktop specifici all'interno di un compartimento:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

      Facoltativamente, utilizzare le istruzioni where insieme alle seguenti variabili di contesto per specificare uno o più pool di desktop per nome o OCID:

      • target.desktoppool.name
      • target.desktoppool.id

      Ad esempio:

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.name = '<pool-name>'
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where any {target.desktoppool.name = '<pool-name_1>', target.desktoppool.name = '<pool-name_2>'...}
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.id = '<pool-ocid>'

Configurazione della rete

Impostare la rete cloud virtuale (VCN) per connettersi ai desktop sicuri.

Ogni pool di desktop richiede l'accesso a una subnet adatta per connettere il servizio Secure Desktops alle istanze desktop. Questa subnet può essere privata o pubblica. Quando si crea la subnet per i pool di desktop, assicurarsi che il numero di indirizzi IP disponibili nella subnet corrisponda al numero di desktop di cui si desidera eseguire il provisioning. Ad esempio, una subnet di classe C può fornire solo 254 indirizzi IPv4.

Gruppi di sicurezza di rete

Durante la creazione del pool di desktop, Secure Desktops crea un gruppo di sicurezza di rete (NSG) con regole di sicurezza che forniscono la connettività di rete per il servizio. Questo gruppo NSG, desktop_pool_instances_<ocid>_nsg, è visibile solo dall'istanza di computazione associata al desktop.

Se si sceglie di utilizzare gruppi NSG aggiuntivi, è necessario creare i gruppi NSG e applicarli quando si crea il pool di desktop. Vedere Creazione di un pool di Desktop.

Per ulteriori informazioni, vedere Gruppi di sicurezza di rete.

Gateway del servizio

Per utilizzare il plugin Oracle Cloud Agent (obbligatorio per i desktop Windows e Linux), è necessario impostare un gateway di servizi per la VCN. I passi includono la creazione del gateway del servizio, l'aggiornamento dell'instradamento per la subnet mediante l'aggiunta di una regola di instradamento e l'aggiunta di una regola di sicurezza di uscita per consentire il traffico desiderato. Vedere Accesso ai Servizi Oracle: gateway del servizio.

Per ulteriori informazioni sul plugin Oracle Cloud Agent, vedere Oracle Cloud Agent.

Nota

Se si desidera abilitare l'accesso al desktop privato, vedere Abilitazione dell'accesso al desktop privato per ulteriori requisiti di rete.

Importazione immagini in corso

Importare immagini e contrassegnarle correttamente in modo che Secure Desktops le riconosca come immagini da utilizzare per un pool di desktop.

Importa immagini nel compartimento e aggiungi tag immagine:

  • Obbligatorio:

    oci:desktops:is_desktop_image true

    Questo tag consente al servizio di determinare le immagini da visualizzare come opzione quando si crea un pool di desktop.

  • Facoltativo:
    • oci:desktops:image_os_type [Oracle Linux | Windows]
    • oci:desktops:image_version <version>

      dove <version> è un riferimento significativo per il tuo utilizzo.

Per ulteriori informazioni, vedere Tag desktop sicuri.

Esportazione di immagini in un'altra area

Un'immagine esiste solo all'interno di una singola area di una tenancy. Se si desidera rendere disponibile un'immagine in un'altra area della tenancy, è necessario esportare l'immagine e quindi importarla nell'altra area.

  1. Creare un bucket di storage degli oggetti per memorizzare l'immagine.
  2. Esportare l'immagine nel bucket di storage utilizzando il formato immagine .oci.
  3. Una volta completata l'esportazione, passare al bucket e creare una richiesta preautenticata per l'immagine. Copiare l'URL fornito.
  4. Passa alla tenancy e all'area di ricezione. Importare l'immagine dall'URL dello storage degli oggetti utilizzando il tipo OCI.
  5. Aggiungere i tag appropriati all'immagine prima di utilizzarla come immagine desktop.
  6. Dopo aver importato l'immagine in tutte le aree necessarie, puoi eliminare l'oggetto immagine dal bucket di storage.

Allocazione di host virtual machine dedicati

Se l'immagine del pool di desktop è per desktop Windows, i desktop nel pool verranno ospitati su host virtual machine dedicati (DVH) per impostazione predefinita. Assicurarsi di allocare risorse DVH sufficienti nella tenancy per eseguire i desktop Windows.

Per ulteriori informazioni, vedere Host virtual machine dedicati.

Nota

  • Se il contratto di licenza consente di virtualizzare i desktop di Windows 10/11 in un ambiente cloud, è possibile disabilitare il provisioning DVH aggiungendo la tag appropriata durante la creazione del pool di desktop. Vedere Tag desktop sicuri.
  • Secure Desktops non alloca DVH per pool di desktop Linux.

È necessario impostare il limite di tenancy per gli host virtual machine dedicati per consentire il provisioning di tutti i desktop Windows nelle virtual machine dedicate. Non è necessario avviare gli host. I Secure Desktops eseguono le operazioni riportate di seguito in base alle esigenze.

Usa forme appropriate per pool di desktop

Per i pool di desktop Windows, ovvero pool di desktop che richiedono host di virtual machine dedicati, utilizzare una delle forme preferite riportate di seguito poiché sono pre-mappate alle forme DVH per l'allocazione di OCPU e memoria.

  • Flex Low (2 OCPU, 4 GB di RAM)
  • Flex Medium (4 OCPU, 8 GB di RAM)
  • Flex High (8 OCPU, 16 GB di RAM)
Nota

  • Durante la creazione del pool di desktop, Secure Desktops calcola il numero richiesto di host virtual machine dedicati da allocare per un pool di desktop.
  • Quando si elimina un pool di desktop, vengono eliminati anche tutti gli host virtual machine dedicati allocati per tale pool di desktop.

In alternativa, l'amministratore può scegliere una forma VM specifica da un set di forme VM supportate dall'immagine del pool. In questo caso, Secure Desktops assegna una forma DVH corrispondente all'hosting della forma VM.

Nella tabella seguente sono elencate le forme VM supportate e le forme DVH corrispondenti:

Forma VM Forma DVH
VM.Standard2.2 DVH.Standard2.52:Flex basso
Standard2.4 VM DVH.Standard2.52:Flex medio
VM.Standard2.8 DVH.Standard2.52:Flex alto
VM.Standard3.Flex DVH.Standard3.64
VM.Standard.E3.Flex DVH.Standard.E3.128
VM.Standard.E4.Flex DVH.Standard.E4.128
VM.DenselIO2.8 DVH.DenseIO2.52:Flex basso
VM.DenselIO2.16 DVH.DenseIO2.52:Flex Medium
VM.DenselIO2.24 DVH.DenseIO2.52:Flex alto
VM.Optimized3. Flexfield DVH.Ottimizzato3.36
VM.Standard.E2.2 DVH.Standard.E2.64:Flex basso
VM.Standard.E2.4 DVH.Standard.E2.64:Flex Medium
VM.Standard.E2.8 DVH.Standard.E2.64:Flex alto
Nota

Se si specifica una forma VM non supportata, la creazione del pool non riesce e viene restituito un errore.

Se si desidera specificare una forma DVH specifica per i desktop, è possibile aggiungere la tag appropriata durante la creazione del pool di desktop. Vedere Tag desktop sicuri.