Oracle Cloud Infrastructureドキュメント

テナンシの設定

セキュア・デスクトップのテナンシを設定するには、テナンシ管理者がコンパートメントを設定し、ユーザーおよびグループのポリシーを作成し、デスクトップ管理者が使用する使用可能なイメージ、ストレージおよびネットワークを構成する必要があります。

ノート

Oracleでは、セキュア・デスクトップ・リソース・マネージャ(ORM)スタックを使用して、テナンシの設定プロセスを簡略化することをお薦めします。ORMスタックは、ベスト・プラクティスに従ってテナンシが設定されていることを確認するのに役立ついくつかのプロセス・タスクを支援します。

  • セキュア・デスクトップ・サービスのポリシー、動的グループおよびユーザー・アクセスの作成。
  • 既存のネットワーク・リソースの作成またはオンボーディング。
  • セキュア・デスクトップ・プールで使用するカスタム・イメージのインポート。

必要なORMスタック設定ファイルをOracle Cloud Marketplaceからダウンロードします。

ORMスタックを使用する手順は、「OCIセキュア・デスクトップ: ORMスタックを使用したテナンシの構成方法(KB48885)」を参照してください。

コンパートメントの設定

デスクトッププールへのアクセスを制御するためにSecure Desktopsに必要なコンパートメントを設定します。

  1. デスクトップ管理者と協力して、どのコンパートメントが必要かを理解します。

    コンパートメントを使用して、デスクトップへのアクセスを制御します。たとえば、デスクトップ・プールごとに1つのコンパートメントが必要になり、複数のデスクトップ・プールが存在する可能性があります。Understanding Desktop User Access to a Desktop Poolおよび Desktop Poolsを参照してください。また、他のリソースを分離するためにコンパートメントを使用する必要がある場合もあります。

  2. テナンシを設定するためのベスト・プラクティスの学習の説明に従って、コンパートメントを作成します。

サービスのポリシーの作成

動的グループを定義し、セキュア・デスクトップ・サービスをテナンシ内で実行できるようにするポリシーを追加します。

  1. 管理するコンパートメントにデスクトップ・プールの動的グループを追加します。動的グループを作成する手順は、「動的グループの管理」を参照してください。コンパートメントを使用して動的グループを定義するには、次のステップに従います。
    1. 動的グループに、ポリシー・ステートメントで使用する名前を付けます(たとえば、DesktopPoolDynamicGroup)。
    2. 動的グループの「次に定義されているすべてのルールに一致」オプションを選択します。
    3. デスクトッププールリソースを識別するための次の一致規則を追加します。 
      resource.type = 'desktoppool'
    4. オプションで、デスクトップ・プールを含むコンパートメントを識別する照合ルールを追加します: 
      Any {resource.compartment.id = '<ocid>', resource.compartment.id = '<ocid>'}

      ここで、<ocid>は各コンパートメントのリソースIDです。次に例を示します。

      Any {resource.compartment.id = '<OCID-OracleLinux8Standard>', resource.compartment.id = '<OCID-OracleLinux8Extra>'}
  2. ルート・コンパートメントで、追加した動的グループごとに次のポリシーを追加します。これにより、動的グループ内のデスクトップ・プールは、必要なテナンシ・レベルのリソースにアクセスできます。

    ポリシーの概要は、ポリシーの開始を参照してください。

    ポリシーを作成するには、コンソールを使用したポリシーの作成を参照してください。

    次の例では、動的グループは、デフォルトのアイデンティティ・ドメインに属しているかのように評価されます。デフォルト以外のアイデンティティ・ドメインを使用している場合は、ポリシー・ステートメントで動的グループの前にアイデンティティ・ドメイン名を含める必要があります。構文例を含む詳細は、ポリシー構文を参照してください。

    Allow dynamic-group <dynamic-group> to {DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

    ここで、<dynamic-group>は、デスクトップ・プールのセットを指定する動的グループの名前です。

  3. ルート・コンパートメント、または管理するデスクトップ・プール・コンパートメントの上にあるコンパートメントで、次のポリシーを追加して、各動的グループのデスクトップ・プールが必要なリソースと対話できるようにします。

    ポリシーを作成するには、コンソールを使用したポリシーの作成を参照してください。

    Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
    説明:
    • <dynamic-group>は、デスクトップ・プールのセットを指定する動的グループの名前です。
    • <desktops-network-compartment>は、デスクトップ・プールで使用されるVCNを含むコンパートメントの名前です。このコンパートメントがデスクトップ・プール・コンパートメントの上のコンパートメントの子でない場合は、ルート・コンパートメントにポリシーを指定する必要があります。
    • <image-compartment>は、デスクトップ・プールで使用されるデスクトップ・イメージ・インスタンスを含むコンパートメントの名前です。このコンパートメントがデスクトップ・プール・コンパートメントの上のコンパートメントの子でない場合は、ルート・コンパートメントにポリシーを指定する必要があります。
    • <desktop-compartment>は、次のいずれかの名前です。
      • デスクトップ・プールおよび関連するストレージ・ボリュームおよびリソースを含むコンパートメント。
      • デスクトップ・プールを含むコンパートメントの親。
    ノート

    プライベート・デスクトップ・プールの作成を計画している場合は、追加のポリシーが必要になる場合があります。詳細は、Enabling Private Desktop Accessを参照してください。

    この例は、OracleLinux8StandardおよびOracleLinux8Extraという2つの独立したコンパートメント内の2つのデスクトップに必要なポリシーを示しています。共通の親の下にあるすべてのコンパートメントで同じポリシーが使用されている場合は、親コンパートメントを使用してこれらを一度リストして、複製の必要性を回避できます。

    Allow dynamic-group DesktopPoolDynamicGroup to {DOMAIN_READ} in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect users in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect compartments in tenancy
Allow dynamic-group DesktopPoolDynamicGroup to use tag-namespaces in tenancy

Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment VirtualCloudNetworks
Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment Images

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Standard

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Extra

ユーザー認可のポリシーの作成

デスクトップ管理者がプールを管理し、デスクトップユーザーがデスクトップに接続できるように、適切なユーザーアクセスを設定します。

次の2つのタイプのグループが必要です。

  • デスクトップを提供するためにサービスを使用するデスクトップ管理者の管理者グループ。
  • デスクトップに接続するデスクトップユーザーのユーザーグループ。
これらのグループは、コンパートメントやイメージなどの作成権限を付与するために使用されるテナンシ管理者グループに追加されます。例として、カスタム・イメージの管理を参照してください。

管理者グループのメンバーシップでは、プール内のデスクトップに接続する権限は付与されず、プールを作成および管理するための権限のみが付与されます。デスクトップ・ユーザーは、アクセスが認可されているコンパートメント内の各プールから1つのデスクトップに接続できます。特定のタイプのデスクトップへのアクセスを制限するなど、ユーザーグループを分離するには、デスクトップが異なるコンパートメントにある(Understanding Desktop User Access to a Desktop Poolを参照)必要があり、そのグループには必要に応じてそれらのコンパートメントにアクセスできる必要があります。グループの作成の詳細は、グループの使用を参照してください。

ポリシーの概要は、ポリシーの開始を参照してください。

ポリシーを作成するには、コンソールを使用したポリシーの作成を参照してください。

  1. デスクトップ管理者のポリシーを追加します。

    • デスクトップ・プール・ファミリのポリシー:
      Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>

      次に例を示します。

      Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Standard
Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Extra
    • 読取りリソースのポリシー:
      Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>

      次に例を示します。

      Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Standard
Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Extra
    • 仮想ネットワーク・ファミリのポリシー:
      Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>

      次に例を示します。

      Allow group Desktop_Admins to use virtual-network-family in compartment VirtualCloudNetworks
    • インスタンス・イメージのポリシー:
      Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

      次に例を示します。

      Allow group Desktop_Admins to use instance-images in compartment Images

  2. デスクトップ・ユーザーのポリシーを追加します。

    • コンパートメント内のすべてのデスクトップ・プールのポリシー:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

      次に例を示します。

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
Allow group IT_Users to use published-desktops in compartment OracleLinux8Extra
    • コンパートメント内の特定のデスクトップ・プールのポリシー:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

      オプションで、where文を次のコンテキスト変数とともに使用して、名前またはOCIDで1つ以上のデスクトップ・プールを指定します。

      • target.desktoppool.name
      • target.desktoppool.id

      次に例を示します。

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.name = '<pool-name>'
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where any {target.desktoppool.name = '<pool-name_1>', target.desktoppool.name = '<pool-name_2>'...}
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.id = '<pool-ocid>'

ネットワークの構成

セキュア・デスクトップに接続するようにVirtual Cloud Network (VCN)を設定します。

各デスクトップ・プールでは、セキュア・デスクトップ・サービスをデスクトップ・インスタンスに接続するための適切なサブネットへのアクセスが必要です。このサブネットはプライベートまたはパブリックにできます。デスクトップ・プールのサブネットを作成する場合は、サブネットで使用可能なIPアドレスの数がプロビジョニングするデスクトップの数と一致していることを確認してください。たとえば、クラスCのサブネットでは、254個のIPv4アドレスしか指定できません。

ネットワーク・セキュリティ・グループ

デスクトップ・プールの作成時に、セキュア・デスクトップは、サービスのネットワーク接続を提供するセキュリティ・ルールを持つネットワーク・セキュリティ・グループ(NSG)を作成します。このNSG (desktop_pool_instances_<ocid>_nsg)は、デスクトップに関連付けられたコンピュート・インスタンスからのみ表示されます。

追加のNSGを使用する場合は、NSGを作成し、デスクトップ・プールの作成時にそれらを適用する必要があります。Creating a Desktop Poolを参照してください。

詳細は、ネットワーク・セキュリティ・グループを参照してください。

サービス・ゲートウェイ

Oracle Cloud Agentプラグイン(WindowsおよびLinuxデスクトップに必要)を使用するには、VCNにサービス・ゲートウェイを設定する必要があります。ステップには、サービス・ゲートウェイの作成、ルーティング・ルールの追加によるサブネットのルーティングの更新、および目的のトラフィックを許可するエグレス・セキュリティ・ルールの追加が含まれます。Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

Oracle Cloud Agentプラグインの詳細は、Oracle Cloud Agentに関する項を参照してください。

ノート

プライベートデスクトップアクセスを有効にする場合は、追加のネットワーク要件について、Enabling Private Desktop Accessを参照してください。

イメージのインポート

イメージをインポートし、それらを適切にタグ付けして、セキュア・デスクトップがデスクトップ・プールに使用するイメージとして認識できるようにします。

コンパートメントにイメージをインポートし、イメージ・タグを追加します:

  • 必須:

    oci: デスクトップ:is_desktop_image true

    このタグを使用すると、サービスは、デスクトッププールを作成するときにオプションとして表示するイメージを決定できます。

  • オプション:
    • oci:desktops:image_os_type [Oracle Linux | Windows]
    • oci: デスクトップ:image_version <version>

      ここで、<version>は、使用する意味のある参照です。

詳細は、Secure Desktops Tagsを参照してください。

別のリージョンへのイメージのエクスポート

イメージは、テナンシの単一リージョン内にのみ存在します。テナンシの別のリージョンでイメージを使用可能にする場合は、イメージをエクスポートしてから、他のリージョンにインポートする必要があります。

  1. イメージを格納するオブジェクト・ストレージ・バケットを作成します。
  2. .ociイメージ形式を使用して、ストレージ・バケットにイメージをエクスポートします。
  3. エクスポートが完了したら、バケットに切り替えて、イメージの事前認証済リクエストを作成します。指定されたURLをコピーします。
  4. 受信テナンシおよびリージョンに切り替えます。タイプOCIを使用して、オブジェクト・ストレージURLからイメージをインポートします。
  5. 適切なタグをイメージに追加してから、デスクトップ・イメージとして使用します。
  6. イメージを必要なすべてのリージョンにインポートした後、ストレージ・バケットからイメージ・オブジェクトを削除できます。

専用仮想マシン・ホストの割当て

デスクトッププールイメージが Windowsデスクトップ用である場合、プール内のデスクトップはデフォルトで専用仮想マシンホスト(DVH)でホストされます。Windowsデスクトップを実行するのに十分なDVHリソースをテナンシに割り当てます。

詳細は、専用仮想マシン・ホストを参照してください。

ノート

  • ライセンス契約でクラウド環境でのWindows 10/11デスクトップの仮想化が許可されている場合は、デスクトップ・プールの作成時に適切なタグを追加することでDVHプロビジョニングを無効にできます。Secure Desktops Tagsを参照してください。
  • Secure Desktopsは、Linuxデスクトップ・プールにDVHを割り当てません。

専用仮想マシン・ホストのテナンシ制限を設定して、すべてのWindowsデスクトップを専用仮想マシンにプロビジョニングできるようにする必要があります。ホストを起動する必要はありません。Secure Desktopsは必要に応じてこれを実行します。

デスクトップ・プールに適切なシェイプを使用

Windowsデスクトップ・プール(専用仮想マシン・ホストを必要とするデスクトップ・プール)では、OCPUおよびメモリーの割当てのためにDVHシェイプに事前にマップされているため、次のいずれかの優先シェイプを使用します。

  • Flex Low (2 OCPU、4GB RAM)
  • Flex Medium (4 OCPU、8GB RAM)
  • Flex High (8 OCPU、16GB RAM)
ノート

  • デスクトップ・プールの作成時に、セキュア・デスクトップは、デスクトップ・プールに割り当てる必要がある専用仮想マシン・ホストの数を計算します。
  • デスクトップ・プールが削除されると、そのデスクトップ・プールに割り当てられているすべての専用仮想マシン・ホストも削除されます。

または、管理者は、プール・イメージでサポートされている一連のVMシェイプから特定のVMシェイプを選択できます。この場合、セキュア・デスクトップは、対応するDVHシェイプを割り当ててVMシェイプをホストします。

次の表に、サポートされているVMシェイプおよび対応するDVHシェイプを示します:

VMシェイプ DVHの形
VM.Standard2.2 DVH.Standard2.52: フレックス低
VM.Standard2.4 DVH.Standard2.52: フレックス中
VM.Standard2.8 DVH.Standard2.52: フレックス高
VM.Standard3.Flex DVH.Standard3.64
VM.Standard.E3.Flex DVH.Standard.E3.128
VM.Standard.E4.Flex DVH.Standard.E4.128
VM.DenselIO2.8 DVH.DenseIO2.52: フレックス低
VM.DenselIO2.16 DVH.DenseIO2.52: フレックスメディア
VM.DenselIO2.24 DVH.DenseIO2.52: フレックス高
VM.Optimized3.Flex DVH.Optimized3.36
VM.Standard.E2.2 DVH.Standard.E2.64: フレックス低
VM.Standard.E2.4 DVH.Standard.E2.64: フレックスメディア
VM.Standard.E2.8 DVH.Standard.E2.64: フレックス高
ノート

サポートされていないVMシェイプが指定されている場合、プールの作成は失敗し、エラーが返されます。

デスクトップに特定のDVHシェイプを指定する場合は、デスクトップ・プールの作成時に適切なタグを追加できます。Secure Desktops Tagsを参照してください。