Oracle Cloud Infrastructureドキュメント

プライベートデスクトップアクセスの有効化

Secure Desktopsには、プライベート・ネットワークを介したデスクトップ・アクセスを有効にするオプションがあります。

管理者は、プライベート・エンドポイントを使用して、仮想クラウド・ネットワーク(VCN)またはオンプレミス・ネットワークからOracle Cloud Infrastructure内のプライベート・デスクトップ・アクセスを有効にできます。プライベート・エンドポイントとは、Oracle Cloud Infrastructure内の特定のサービスにアクセスするために使用できるVCN内のプライベートIPアドレスのです。プライベート・エンドポイントは、VCNのサブネット内のプライベートIPアドレスとして表されます。

デスクトップ・プールを作成するとき、デスクトップ管理者はVCNで構成されたプライベート・エンドポイントを使用してデスクトップ・アクセスを有効にできます。

ノート

この機能は、新しいデスクトップ・プールを作成する場合にのみ有効にできます。

前提条件

プライベート・エンドポイントを含むデスクトップ・プールを作成する前に、次のステップを実行します:

  1. 作業中のリソースに必要なポリシーを設定します。コンパートメントによっては、追加のポリシーが必要になる場合があります。

    <private-access-network-compartment>は、プライベート・アクセスに使用されるVCNおよびサブネットを含むコンパートメントです。

    • このコンパートメントが<desktops-network-compartment>と同じ場合、新しいポリシーは不要です。
    • このコンパートメントが<desktops-network-compartment>と異なる場合は、次のサービス・レベル・ポリシーを追加する必要があります:
      Allow dynamic-group <dynamic-group> to use virtual-network-family in in compartment <private-access-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <private-access-network-compartment>
  2. デスクトップ・プールにアクセスするリージョン内にVCNを作成します。詳細は、VCNおよびサブネットを参照してください。VCNは、デスクトップ・プールを作成するリージョン内に存在する必要があります。
  3. デフォルトのDHCPオプションを使用して構成されたVCN内のサブネットを構成します。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
    ノート

    • プライベート・アクセス・サブネットおよびデスクトップ・プール・サブネットは、同じVCNまたは異なるVCNsにプロビジョニングできます。
    • プライベート・アクセスとデスクトップ・プール・アクセスを同じサブネットにプロビジョニングできます。
    • オンプレミス・ネットワークからのデスクトップ・アクセスには、ホスト名解決に必要な場合に、追加のサブネットのためにVCN内の使用可能なアドレス空間が必要です。
  4. (オプション) VCN内のネットワーク・セキュリティ・グループ(NSG)を指定します。NSGは、サービスへの接続のルールを指定します。詳細は、ネットワーク・セキュリティ・グループを参照してください。

DNS設定

プライベート・エンドポイント・デスクトップ・プール・アクセスは、DNSゾーンのIPアドレスを介して次の形式で行われます:

private.devices.desktops.<region-id>.oci.oraclecloud.com

オンプレミス・クライアントには、前述のゾーンのDNSエントリを解決する機能が必要です。これを行うには、DNSリゾルバ・タイプがInternet and VCN Resolverに設定されているサブネット上でDNSリスナーを構成する必要があります。

VCN DNSリスナー設定

  1. サブネットを編集して、次のDHCPオプションを設定します。
    • 「DNSタイプ」で、「Internet and VCN Resolver」を選択します。
    • DNSサーバー: 不要

    詳細は、既存のDHCPオプション・セットのオプションを更新するにはを参照してください。

  2. VCN DNSリゾルバ・エンドポイントを作成します。

    このリゾルバ・エンド・ポイントは、ピアリングされたVCNやオンプレミス・ネットワークなど、別のプライベートDNSシステムとの間のDNS問合せを転送およびリスニングするために使用できます。

    • エンドポイントの名前を選択します。
    • 「リスニング」エンドポイント・タイプを選択します。
    • プルダウン・リストからエンドポイントのサブネットを選択します。"Internet and VCN Resolver" DHCPでサブネットを選択します

    詳細は、「リゾルバ・エンドポイントの作成」を参照してください

  3. VCNのセキュリティ・リストを作成して、DNSを許可する次のイングレス・ルールを設定します:
    • ステートレス= いいえ
    • ソース=0.0.0.0/0
    • IPプロトコル= TCP
    • ソース・ポート範囲= すべて
    • 宛先ポート範囲=53
    • ポート: 53 Domain Name System (DNS)のTCPトラフィックが許可されます。

    詳細については、「セキュリティリストの作成」を参照してください。

オンプレミスDNS設定

DNSリスナーの構成後、オンプレミス・クライアントで使用されるDNSサーバーは、前述のDNSリスナーIPアドレスを使用するように構成する必要があります。

VCNで構成されたDNSリスナーへの条件付きDNS転送を使用してオンプレミス・イントラネットDNSサーバーを構成し、ゾーン名を指定します:

private.devices.desktops.<region-id>.oci.oraclecloud.com

プライベート・エンドポイントを使用したデスクトップ・プールの作成

プライベート・エンドポイントを使用してデスクトップ・プールを作成するには、デスクトップ管理者がセキュア・デスクトップ・コンソールまたはAPIを使用してデスクトップ・プールの作成時に次のプライベート・アクセス詳細を提供します。

  • 仮想クラウド・ネットワーク(VCN)
  • プライベート・アクセスのサブネット。
  • (オプション)プライベート・エンドポイントに割り当てられるIPアドレス。定義されていない場合は、IPアドレスが自動的に割り当てられます。セキュア・デスクトップは、IPアドレスの完全修飾ドメイン名を定義します。
  • (オプション)ネットワーク・トラフィックをさらに制御するための1つ以上のネットワーク・セキュリティ・グループ(NSG)。

詳細については、Creating a Desktop Poolを参照してください。

ノート

テナンシ内の複数のプールにプライベート・アクセスを提供するために、複数のプライベート・エンドポイントがサポートされています。各プライベート・プール・エンドポイントのDNS名は、次の形式で一意になります:

<pool-specific-id>.private.devices.desktops.<region-id>.oci.oraclecloud.com

FastConnect

プライベート・デスクトップ・アクセスは、Oracle Cloud Infrastructure FastConnectプライベート・ピアリングを使用して行われます。FastConnectは、オンプレミスのデータ・センターとOracle Cloud Infrastructure間に専用のプライベート接続を簡単に作成する方法を提供します。ポート速度は1Gから400Gまでで、データ移動にバイト単位の料金はかかりません。FastConnectは、インターネットベースの接続に比べて、高帯域幅のオプションを備えており、信頼性と一貫性が高いネットワーキングを実現できます。

テナンシ要件、ネットワーキング・シナリオおよび構成など、FastConnectプライベート・ピアリングの詳細は、FastConnectを参照してください。

動的ルーティング・ゲートウェイ

FastConnectプライベート・ピアリング(プライベート仮想回線を使用)には、Dynamic Routing Gateway (DRG)が必要です。

DRGは、VCNにアタッチされた仮想エッジ・ルーターです。DRGは、VCNに受信されるプライベート・トラフィックの単一のエントリ・ポイントで、FastConnectまたはサイト間VPNリンクを経由する場合でも、これに該当します。DRGを作成したら、それをVCNにアタッチし、VCNのルート表にDRGのルートを追加してトラフィック・フローを有効にする必要があります。

DRGには、VIRTUAL_CIRCUITネットワーク・アタッチメント・タイプが含まれます。DRGに1つ以上のFastConnect仮想回線をアタッチして、オンプレミス・ネットワークに接続できます。

Oracle Cloud Infrastructure Consoleを使用して、DRGを設定し、それをVCNにアタッチして、DRGにトラフィックを送信するためのルート・ルールを含めるようにVCNのルーティングを更新します。ルート表の更新は忘れがちです。ルート・ルールがない場合、トラフィックは流れません。

詳細は、次のサイトを参照してください。

DRGが設定されたら、FastConnectにプライベート仮想回線を作成し、FastConnectトラフィックをルーティングするDRGを選択します。詳細は、「FastConnectの開始」を参照してください