ノート:
- このチュートリアルでは、Oracle Cloudへのアクセスが必要です。無料アカウントにサインアップするには、Oracle Cloud Infrastructure Free Tierの開始を参照してください。
- Oracle Cloud Infrastructureの資格証明、テナンシおよびコンパートメントに例の値を使用します。演習を終える際は、これらの値をクラウド環境に固有の値に置き換えてください。
Oracle Cloud Infrastructure Secure Desktopsのデプロイ
イントロダクション
Oracle Cloud Infrastructure (OCI) Secure Desktopsサービスを使用すると、管理者は、個々のユーザーがセキュアにアクセスできる仮想デスクトップの同一のセットを作成できます。管理者は、既存のコンピュート・シェイプおよびカスタム・イメージを使用して、テナンシにデスクトップのプールを作成できます。
仮想デスクトップとOCI構成は管理者によって管理されるため、技術者以外のユーザーは仮想デスクトップに簡単かつ安全にアクセスし、毎日の作業に使用できます。
目標
- OCIセキュア・デスクトップをデプロイし、OCI環境に安全にアクセスします。
前提条件
- OCIテナンシおよびコンパートメントへのアクセス。
タスク1: 動的グループの作成
-
動的グループの作成詳細は、動的グループの管理を参照してください。
-
動的グループに対して「次で定義したルールに一致」を選択します。
-
デスクトップ・プールを含むコンパートメントごとに、このフォームの照合ルールを追加します。
All {resource.type = 'desktoppool', resource.compartment.id = '<OCID-Of-Compartment>'}
タスク2: 動的グループのポリシーの作成
ルート・コンパートメントで、タスク1で作成した動的グループに次のポリシーを追加します。これにより、動的グループ内のデスクトップ・プールは、必要なテナンシ・レベルのリソースにアクセスして対話できます。
Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT} in tenancy
Allow dynamic-group <dynamic-group> to inspect users in tenancy
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy
Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <compartment-name>
<dynamic-group>
は、デスクトップ・プールのセットを指定する動的グループの名前です。
タスク3: ユーザー認可のポリシーの作成
ノート:テナンシ管理者には、個別のポリシーは必要ありません。
適切なユーザーアクセスを設定して、デスクトップ管理者がプールを管理し、デスクトップユーザーがデスクトップに接続できるようにします。2種類のグループが必要です。
-
管理者グループ:デスクトップを提供するためにサービスを使用するデスクトップ管理者の管理者グループ。
適切な名前でデスクトップ管理者グループを作成し、次のポリシーをグループに割り当てます。
Allow group <desktop-administrators> to manage desktop-pool-family in compartment <compartment-name> Allow group <desktop-administrators> to read all-resources in compartment <compartment-name> Allow group <desktop-administrators> to use virtual-network-family in compartment <compartment-name> Allow group <desktop-administrators> to use instance-images in compartment <compartment-name>
ノート:
<desktop-administrators>
はグループ名です。 -
ユーザーグループ:デスクトップに接続するデスクトップユーザーのユーザーグループ。
適切な名前でデスクトップユーザーグループを作成し、次のポリシーをグループに割り当てます。
Allow group <desktop-users> to use published-desktops in compartment <compartment-name>
タスク4: カスタム・イメージのインポート
OCIセキュア・デスクトップを使用するには、カスタム・イメージをインポートする必要があります。詳細については、「イメージのインポート」を参照してください。
ノート:サポートされているイメージのリストを取得するには、サポートされているイメージを参照してください。
イメージをコンパートメントにインポートし、カスタム・イメージごとに次のタグを追加します。これらのタグにより、サービスは、デスクトッププールの作成時にオプションとして表示するイメージを決定できます。
oci:desktops:is_desktop_image true
oci:desktops:image_version <version>, where <version> is a meaningful reference for your use.
oci:desktops:image_os_type [Oracle Linux | Windows]
タスク5: デスクトップ・プールの作成
カスタム・イメージを作成したら、デスクトップ・プールを作成します。
ノート: このタスクを実行するには、デスクトップ管理者である必要があります。コンパートメントによって、プールにアクセスできるユーザー・グループが決まります。
-
OCIコンソールを開き、「コンピュート」をクリックします。「セキュア・デスクトップ」で、「デスクトップ・プール」をクリックします。
-
「リスト・スコープ」で、プールを作成するコンパートメントを選択し、「デスクトップ・プールの作成」をクリックします。
-
デスクトッププールの名前を入力します。この値はあとで編集できます。
-
次のオプション情報を入力します
- 説明:デスクトップ・プールの説明を入力します。
- プール開始時間:プールにアクセス可能になった日時をUTCで選択します。この値は後で編集可能です。
- プール停止時間:プールが停止してアクセスできなくなった日時をUTCで選択します。
- 管理者連絡先詳細を追加します。
- 「デスクトップ上のユーザーの管理者権限の有効化」を選択して、デスクトップ・ユーザーに仮想デスクトップの管理権限を許可します。
-
「プール・サイズ」セクションに、次の情報を入力します。
- 最大サイズ:プール内のデスクトップの最大数。
- スタンバイサイズ:使用可能な未割り当てデスクトップの数。スタンバイ・デスクトップは、リソースが実行中で、デスクトップ・ユーザーへの即時割当てに使用できるため、リソースを消費します。これらの値はあとで編集できます。
-
「配置」で、デスクトップ・リソースを検索する可用性ドメインを選択します。
-
「イメージとシェイプ」で、デスクトップに使用するOSイメージとシェイプを選択します。専用仮想マシン・ホストを必要とするWindowsデスクトップ・プールの場合は、次の優先シェイプのいずれかを使用します。これらは、OCPUおよびメモリーの割当てのためにDVHシェイプにマップされます。
- Flex Low (2 OCPU、4GB RAM)
- Flex Medium (4 OCPU、8GB RAM)
- Flex High (8 OCPU、16GB RAM)
ノート: プールが停止すると、停止されますが削除されません。
-
オプションユーザーに関連付けられたブロック・ボリュームを作成してデスクトップ・ユーザーに永続ストレージを入力するには、「デスクトップ・ストレージの有効化」を選択し、ボリューム・サイズ(GB)を選択します。
-
「ネットワーキング」セクションで、次の情報を入力します。
- 仮想クラウド・ネットワーク:このプール内のデスクトップの仮想クラウド・ネットワーク(VCN)を選択します。
- サブネット:デスクトップに使用するVCNのパブリック・サブネットを選択します。
- オプション 「拡張オプションの表示」をクリックして、トラフィックを制御するためのネットワーク・セキュリティ・グループの使用を選択します。
-
デバイスアクセスポリシーで、仮想デスクトップとクライアントデバイスの対話方法を指定します。
- クリップボードアクセス:仮想デスクトップがクライアントデバイス上のクリップボードにアクセスできるかどうか、およびどのようにアクセスできるかを指定します。
- オーディオアクセス:仮想デスクトップがクライアントデバイス上のスピーカーとマイクにアクセスできるかどうか、およびその方法を指定します。このオプションは、インストールされているクライアントを使用している場合にのみサポートされ、オーディオ入力またはマイクの値は Windowsデスクトップでのみサポートされます。
- ドライブマッピングアクセス:仮想デスクトップがクライアントデバイス上のドライブにアクセスできるかどうか、およびその方法を指定します。「読み取り」または「書き込み」を選択すると、ユーザーはローカルシステムと仮想デスクトップの間でコンテンツを移動できます。これらの値はあとで編集できます。
ノート: ネットワーク要件を計画する場合は、必要なイングレスおよびエグレス・ルールを必ず含めてください。例えば、オープンなインターネット。プールの作成後は、そのNSG構成を変更できません。
-
「通常スケジュール」で、プール内のデスクトップを起動および停止する繰返し時間を入力します。これらの値はあとで編集できます。
-
「作成」をクリックします。
デスクトッププールは配備され、次の図に示すようにプールステータスが ACTIVEになると、ユーザーはデスクトップにアクセスできるはずです。
タスク6: デスクトップ・プールへのアクセス
-
タスク3で作成した
<desktop-users>
グループにユーザーを追加します。 -
適切なリージョン識別子を使用して次のURLを編集します。リージョンの識別子値の詳細は、リージョンおよび可用性ドメインを参照してください。
https://published.desktops.<RegionIdentifier>.oci.oraclecloud.com/client
-
編集したリンクを、
<desktop-users>
グループに追加されたエンド・ユーザーと共有して、デスクトップにアクセスできます。
関連リンク
承認
- 著者 - Akarsha I K (クラウド・アーキテクト)、Maninder Flora (クラウド・アーキテクト)
その他の学習リソース
docs.oracle.com/learnの他のラボをご覧いただくか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスして、Oracle Learning Explorerになります。
製品ドキュメントは、Oracle Help Centerを参照してください。
Deploy Oracle Cloud Infrastructure Secure Desktops
F94492-01
March 2024