Documentazione dell'infrastruttura Oracle Cloud

Utilizzo di un'immagine Windows

Per creare un pool di desktop utilizzando Windows, è necessario portare la propria licenza.

Nota

  • Oracle fornisce immagini di base Windows di uso generale preconfigurate per l'uso con Secure Desktops. Aprire una richiesta di servizio per richiedere una di queste immagini. Per ulteriori informazioni, vedere Immagini supportate.
  • OCI non fornisce immagini o licenze per Windows 10 o Windows 11. Per utilizzare un'immagine Windows, è necessario rispettare il contratto di licenza Microsoft. Vedere Licenze Microsoft su Oracle Cloud Infrastructure.

Importazione di immagini Windows personalizzate

Il servizio di computazione consente di importare le immagini Windows create al di fuori di Oracle Cloud Infrastructure. Ad esempio, puoi importare immagini in esecuzione su macchine fisiche o virtuali (VM) on-premise o VM in esecuzione in Oracle Cloud Infrastructure Classic. È quindi possibile avviare le immagini importate nelle virtual machine di computazione.

Attenzione

  • Il supporto di Oracle Cloud Infrastructure nell'avvio di un'istanza da un sistema operativo personalizzato non garantisce che anche il fornitore del sistema operativo supporti l'istanza.
  • Windows 10/11 richiede di portare la propria licenza (BYOL). Per abilitare questa opzione, l'immagine personalizzata deve specificare il sistema operativo Windows.
  • Per impostazione predefinita, viene eseguito il provisioning dei desktop Windows sugli host virtual machine dedicati (DVH). Se il contratto di licenza consente di virtualizzare i desktop di Windows 10/11 in un ambiente cloud, è possibile disabilitare il provisioning DVH aggiungendo il tag appropriato all'immagine utilizzata per creare il pool di desktop. Vedere Tag desktop sicuri.

Requisiti immagine di origine Windows

Le immagini personalizzate devono soddisfare i seguenti requisiti:

  • La dimensione massima dell'immagine è 400 GB.
  • L'immagine deve essere impostata per un tipo di boot supportato.
    • Per un'immagine Windows 10, utilizzare UEFI o il tipo di avvio BIOS legacy.
    • Per un'immagine di Windows 11, utilizzare solo il tipo di avvio UEFI.
  • Il processo di avvio non deve richiedere la presenza di altri volumi di dati per un avvio corretto.
  • Impossibile cifrare l'immagine del disco.
  • L'immagine del disco deve essere un file VMDK o QCOW2.
    • Creare il file immagine duplicando il volume di origine, non creando uno snapshot.
    • I file VMDK devono essere di tipo "single growable" (monolithicSparse) o "stream Optimized" (streamOptimized), entrambi costituiti da un singolo file VMDK. Non sono supportati tutti gli altri formati VMDK, ad esempio quelli che utilizzano più file, volumi divisi o contengono snapshot.
  • L'interfaccia di rete deve usare DHCP per determinare le impostazioni di rete. Quando si importa un'immagine personalizzata, le interfacce di rete esistenti non vengono ricreate. Tutte le interfacce di rete esistenti vengono sostituite con una singola NIC al termine del processo di importazione. È possibile collegare VNIC aggiuntive dopo aver avviato l'istanza importata.
  • La configurazione di rete non deve codificare l'indirizzo MAC per l'interfaccia di rete.
  • Per le immagini di Windows 11, sia Secure Boot che Trusted Platform Module (TPM) devono essere disabilitati per Windows durante la creazione delle immagini se la piattaforma di virtualizzazione non li supporta (ad esempio, VirtualBox). Prima dell'installazione, utilizzare l'editor del registro per aggiungere nuove chiavi di registro:
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassRAMCheck Valore DWORD (32 bit) 1.
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassSecureBootCheck Valore DWORD (32 bit) 1.
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassTPMCheck Valore DWORD (32 bit) 1.

Preparazione delle VM Windows per l'importazione

Prima di poter importare un'immagine Windows personalizzata, è necessario preparare l'immagine per assicurarsi che le istanze avviate dall'immagine possano avviarsi correttamente e che le connessioni di rete funzionino correttamente.

È possibile eseguire le attività descritte in questa sezione sul sistema di origine in esecuzione. Se hai dubbi sulla modifica del sistema di origine attivo, puoi esportare l'immagine così com'è, importarla in Oracle Cloud Infrastructure e quindi avviare un'istanza basata sull'immagine personalizzata. È quindi possibile connettersi all'istanza utilizzando la console VNC ed eseguire i passi di preparazione.

Importante

L'unità di sistema in cui è installato Windows verrà importata in Oracle Cloud Infrastructure. Tutte le partizioni sull'unità seguiranno l'immagine importata. Eventuali altre unità non verranno importate ed è necessario ricrearle nell'istanza dopo l'importazione. Sarà quindi necessario spostare manualmente i dati sulle unità non di sistema.

Per preparare una VM Windows per l'importazione, utilizzare una delle seguenti opzioni:

Preparazione di una VM mediante Secure Desktops Image Builder

Utilizzare Secure Desktops Image Builder per preparare una VM come immagine da utilizzare con Secure Desktops.

Questa utility verifica i requisiti, esegue un'installazione incustodita e configura un'immagine (in formato VMDK) che può essere caricata su Oracle Cloud Infrastructure.

Nota

  • Questa utility crea immagini per le edizioni Enterprise o Professional di Windows 10 o 11 (64 bit). Versioni valutazione non supportate.
  • Questa utility richiede l'uso di Oracle VirtualBox versione 7.0.18. Se si utilizza una soluzione software di virtualizzazione diversa, seguire il metodo manuale per preparare la VM.
  • Questa utility seleziona automaticamente il firmware UEFI per un'immagine di Windows 11.

Per utilizzare Secure Desktops Image Builder:

  1. Consultare OCI Secure Desktops: How To Create a Windows Image For Use with OCI Secure Desktops Using the OCI Secure Desktops Image Builder (KB91837).
  2. Esaminare le istruzioni e scaricare tutti i pacchetti richiesti sul sistema locale.
  3. Scaricare il file dell'applicazione (allegato nell'articolo knowledge) nel sistema locale.
  4. Eseguire il file dell'applicazione come amministratore e seguire tutte le richieste.
  5. Al termine del processo, l'utility visualizza la posizione del file immagine VMDK creato.

Passo successivo:

Importare il file immagine VMDK in Oracle Cloud Infrastructure.

Preparazione di una VM mediante il metodo manuale

Utilizzare il metodo manuale per preparare una VM come immagine da utilizzare con Secure Desktops.

Nota

Per indicazioni sulla preparazione manuale della VM utilizzando VirtualBox, fare riferimento a OCI Secure Desktops: Windows 10/11 per la preparazione di OCI (KB60923).

Per preparare manualmente una VM Windows:

  1. Seguire le linee guida di sicurezza dell'organizzazione per assicurarsi che il sistema Windows sia protetto. Ciò può includere, ma non è limitato ai seguenti task:
    • Installare gli aggiornamenti di sicurezza più recenti per il sistema operativo e le applicazioni installate.
    • Abilitare il firewall e configurarlo in modo da abilitare solo le regole necessarie.
    • Disabilitare gli account con privilegi non necessari.
    • Usa password sicure per tutti gli account.
  2. Impostare il server di attivazione della licenza: 
    slmgr.vbs /skms <KMS_server_name_or_IP>:1688
  3. Creare un Backup del volume root.
  4. Se la VM dispone di storage collegato in remoto, ad esempio volumi NFS o a blocchi, configurare i servizi che si basano su tale storage per l'avvio manuale. Lo storage collegato in remoto non è disponibile la prima volta che un'istanza importata viene avviata su Oracle Cloud Infrastructure.
  5. Assicurarsi che tutte le interfacce di rete utilizzino DHCP e che l'indirizzo MAC e gli indirizzi IP non siano hard code. Per istruzioni su come eseguire la configurazione di rete del sistema, consultare la documentazione del sistema.
  6. Installare Oracle Cloud Agent. Per ottenere il file di installazione di Oracle Cloud Agent, contattare il Supporto Oracle.
  7. Scarica i driver Oracle VirtIO per Microsoft Windows.
  8. Installare i driver (selezionando il tipo di installazione Personalizzato), quindi riavviare l'istanza.
  9. Disattiva LockScreen: 
    try {
  Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -ErrorAction Stop 
} catch {
 New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Force
} try {
 New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1 -PropertyType Dword -ErrorAction Stop
 Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1  -ErrorAction Stop
} catch {
 echo "done"
}
  10. Disabilita RDP: 
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 1
  11. Impostare il server orario su OCI: 
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'Type' -Value NTP -Type String
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'AnnounceFlags' -Value 5 -Type DWord
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer' -Name 'Enabled' -Value 1 -Type DWord
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'NtpServer' -Value '169.254.169.254,0x9' -Type String
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient' -Name 'SpecialPollInterval' -Value 900 -Type DWord
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxPosPhaseCorrection' -Value 1800 -Type DWord
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxNegPhaseCorrection' -Value 1800 -Type DWord
  12. Facoltativamente, installare qualsiasi software aggiuntivo a cui si desidera che gli utenti abbiano accesso.
  13. Installa Cloudbase-Init. Durante l'installazione:
    • Nome utente: amministratore
    • Non selezionare l'opzione per eseguire il servizio Cloudbase-Init come LocalSystem.

      L'uso di questa opzione rende alcune funzioni del sistema operativo non disponibili durante la fase di inizializzazione del cloud e può causare la mancanza di volumi desktop all'avvio del desktop, richiedendo l'esecuzione dello script attach_volume.ps1 per risolvere il problema. Vedere Mancanti volumi desktop durante l'apertura del desktop di Windows.

    • Non selezionare le opzioni per eseguire Sysprep all'interno di Cloudbase-Init e chiudere il sistema.

    Al termine dell'installazione, modificare C:\Program Files\Cloudbase Solutions\Cloudbase-Init\conf\cloudbase-init.conf e aggiungere retry_count=100.

  14. Creare lo script PowerShell C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1 per abilitare l'RDP in Oracle Cloud Infrastructure quando viene eseguito Cloudbase-Init: 
    #ps1_sysnative 
# 
# location C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1 
# 
$script_path=$Env:ProgramData+"\Oracle\OCI\Desktops"
$log="$script_path\enable_rdp.txt" 
Start-Transcript -Path $log -Append 
Write-Host "Enabling rdp port" | Out-Default 
Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default 
date | Out-Default 
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections -Value 0 | Out-Default 
Enable-NetFirewallRule -DisplayGroup "Remote Desktop" | Out-Default 
# 
Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default
  15. Se si prevede di avviare l'immagine importata su più istanze VM, creare un'immagine generalizzata del disco di avvio. Un'immagine generalizzata viene pulita di informazioni specifiche del computer, ad esempio identificatori univoci. Quando si creano istanze da un'immagine generalizzata, gli identificativi univoci vengono rigenerati. Ciò impedisce che due istanze create dalla stessa immagine si scontrino sugli stessi identificativi.
  16. Esegui OCI Secure Desktops Image Readiness Checker per verificare se la tua VM soddisfa i requisiti di conformità da creare come immagine da utilizzare con Secure Desktops.

    Questo strumento può aggiornare NTP (Network Time Protocol), RDP (Remote Desktop Protocol) e le impostazioni della schermata di blocco richieste per un'immagine Windows di Secure Desktops.

    Per ulteriori informazioni su questa utility e per scaricare il file dell'applicazione, vedere OCI Secure Desktops: How To Confirm Compliance Using The OCI Secure Desktops Image Readiness Checker (KB100881)

  17. Doppia la VM arrestata come file VMDK o QCOW2. Per informazioni sulle operazioni, consultare la documentazione degli strumenti fornita con l'ambiente di virtualizzazione.

Passo successivo:

Importare il file immagine VMDK o QCOW2 in Oracle Cloud Infrastructure.

Importazione di una VM basata su Windows

Dopo aver preparato un'immagine Windows per l'importazione, caricare il file immagine e importare l'immagine.

  1. Caricare il file immagine in un bucket di storage degli oggetti. Utilizzare l'interfaccia della riga di comando (CLI, Command Line Interface) per eseguire il seguente comando: 
    oci --profile <profile in $HOME/.oci/config> --region <region> os object put\
    -bn <name of bucket> \
    -ns <name space> \
    --name <The name of the object in the bucket> \
    --file <path to the QCOW2 or VMDK image>
  2. Creare un'immagine personalizzata dall'oggetto caricato nel bucket: 
    oci --profile <profile in $HOME/.oci/config> --region <region> \
   compute image import from-object \
   -ns <name space> \
   -bn <name of bucket> \
   --name <The name of the object in the bucket> \
   --compartment-id <The OCID of the compartment you want the custom image to be created in> \
   --display-name <A user-friendly name for the new custom image> \
   --launch-mode PARAVIRTUALIZED \
   --source-image-type QCOW2|VMDK

    L'immagine importata viene visualizzata nella lista delle immagini personalizzate per il compartimento, con stato Importazione. Al termine dell'importazione, lo stato diventa Disponibile.

    Se lo stato non viene modificato oppure non viene visualizzata alcuna voce nell'elenco Immagini personalizzate, l'importazione non è riuscita. Assicurarsi di avere accesso in lettura all'oggetto di storage degli oggetti e che l'oggetto contenga un'immagine supportata.

  3. Aggiornare l'immagine personalizzata per specificare il sistema operativo Windows e la versione del sistema operativo Windows10 o Windows11: 
    oci --profile <profile in $HOME/.oci/config> --region <region> \
   compute image update --image-id <custom image ocid> \
   --operating-system Windows \
   --operating-system-version <Windows10 or Windows11>
  4. Verificare che l'immagine personalizzata sia impostata sulla modalità di boot corretta.
    • Per un'immagine Windows 10, utilizzare UEFI o il tipo di avvio BIOS legacy.
    • Per un'immagine di Windows 11, utilizzare solo il tipo di boot UEFI.

    Per regolare la modalità di boot:

    1. Aprire il menu di navigazione e fare clic su Computazione. In Compute fare clic su Immagini personalizzate.
    2. Fai clic sull'immagine personalizzata a cui sei interessato.
    3. Fare clic su Azioni, quindi selezionare Modifica funzionalità immagine. Per Firmware, selezionare la modalità di boot appropriata.
    4. Fare clic su Salva modifiche
  5. (Windows 11) Configurare l'immagine personalizzata per le istanze schermate.

    Windows 11 include il supporto per le istanze schermate. Le istanze schermate utilizzano una combinazione di Secure Boot, Measured Boot e Trusted Platform Module (TPM) per rafforzare la sicurezza del firmware per difendersi da software dannosi a livello di avvio.

    • Avvio sicuro è una funzione UEFE (Unified Extensible Firmware Interface) che impedisce d'avviare loader e sistemi operativi d'avvio non autorizzati.
    • L'avvio misurato migliora la sicurezza d'avvio eseguendo e memorizzando le misurazioni dei componenti di boot, ad esempio bootloader, driver e sistemi operativi.
    • Il modulo TMP (Trusted Platform Module) è un truciolo di sicurezza specializzato utilizzato da Boot misurato per memorizzare le misure di avvio. L'abilitazione dell'avvio misurato per le VM abilita automaticamente TPM.

    Per abilitare le istanze schermate:

    1. Aprire il menu di navigazione e fare clic su Computazione. In Compute fare clic su Immagini personalizzate.
    2. Fai clic sull'immagine personalizzata a cui sei interessato.
    3. Fare clic su Azioni, quindi selezionare Modifica funzionalità immagine. Impostare le opzioni riportate di seguito.
      • Per il firmware, assicurarsi che sia selezionata solo UEFI-64.
      • Verificare che l'opzione Boot sicuro sia abilitata.
    4. Fare clic su Salva modifiche

    Di conseguenza, quando si crea un pool di desktop utilizzando questa immagine, Secure Desktops rileva questa impostazione dell'immagine e abilita automaticamente le istanze desktop schermate.

  6. Prima di rendere l'immagine disponibile per l'uso con Secure Desktops, si consiglia di eseguire il test dell'immagine creando manualmente un'istanza di computazione con l'immagine e stabilendo una connessione alla console. Vedere Risoluzione dei problemi relativi alle istanze mediante connessioni alla console delle istanze.
  7. Aggiungere la tag immagine richiesta per rendere l'immagine disponibile per l'uso con Secure Desktops.

    oci:desktops:is_desktop_image=true

    Vedere Tag desktop sicuri.