Oracle Cloud InfrastructureでのMicrosoftリモート・デスクトップ・サービスのデプロイ
Microsoftリモートデスクトップサービス(RDS)プラットフォームを使用すると、個別の仮想化アプリケーションを提供するものを含む仮想化ソリューションを構築できます。このソリューションは、セキュアなリモートデスクトップアクセスを提供し、エンドユーザーがクラウドからアプリケーションとデスクトップを実行できるようにします。
このリファレンス・アーキテクチャでは、Oracle Cloud Infrastructure (OCI)サービスを利用して、安全で可用性の高いRDS環境をクラウドにデプロイする方法の概要を説明します。
アーキテクチャ
標準のRDS配備には、Windows Server VMで実行されているさまざまなリモートデスクトップサービスが含まれています。次の図は、リモート・デスクトップWebおよびリモート・デスクトップ・ゲートウェイなどのコンポーネントの一部を示しています。リモート・サブネット上にあり、2つのネットワーク・ロード・バランサを介してインターネットに公開されています。
ノート:
このリファレンス・アーキテクチャは、RDSのデプロイメントをサポートできるOCIのインフラストラクチャ・コンポーネントに重点を置いています。ソフトウェア構成のガイダンスについては、Microsoftのドキュメントを参照してください。
- リージョン
Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターが含まれる、ローカライズされた地理的な領域です。リージョンは他のリージョンから独立しており、巨大な距離は(国全体または大陸にわたって)分離できます。
- 可用性ドメイン
可用性ドメインは、リージョン内の独立したスタンドアロン・データ・センターです。各アベイラビリティ・ドメインの物理リソースは、フォルト・トレランスを提供する他のアベイラビリティ・ドメインのリソースから分離されます。アベイラビリティ・ドメインは、電源や冷却、内部の可用性ドメイン・ネットワークなどのインフラを共有しません。そのため、1つの可用性ドメインでの障害が、リージョン内の他の可用性ドメインに影響しない可能性があります。
- フォルト・ドメイン
フォルト・ドメインは、可用性ドメイン内のハードウェアおよびインフラストラクチャのグループです。各アベイラビリティ・ドメインに3つのフォルト・ドメインがあり、電源とハードウェアが独立しています。複数のフォルト・ドメインにリソースを分散すると、アプリケーションは、フォルト・ドメイン内の物理サーバーの障害、システム・メンテナンスおよび電源障害を許容できます。
- 仮想クラウド・ネットワーク(VCN)とサブネット
VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義のネットワークです。従来のデータ・センター・ネットワークと同様に、CNはネットワーク環境を完全に制御できます。VCNには、VCNの作成後に変更できる複数の重複しないCIDRブロックを含めることができます。VCNをサブネットにセグメント化できます。これは、リージョンまたは可用性ドメインにスコープを設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックでもプライベートでもかまいません。
- リモートデスクトップWebアクセス(RD Web)
RD Webでは、ユーザーはWebページにアクセスして、セッションホストでホストされている Windowsデスクトップおよびアプリケーションに対して認証およびアクセスできます。
- リモート・デスクトップ・ゲートウェイ(RDゲートウェイ)
RD Gatewayは、インターネット上のクライアントのためにWindowsデスクトップおよびアプリケーションに安全にアクセスできます。RDゲートウェイは、SSLを使用してクライアントとサーバー間の暗号化通信を提供します。
- Active Directory(AD)
これは、ドメイン内のすべてのユーザーアカウントが含まれ、すべての仮想マシンによって結合される Active Directoryドメインサービスサーバーです。サーバーは、スタンドアロン、クラウド環境用、またはFastConnectを活用した既存のオンプレミス・サーバーのレプリカのいずれかです。
- Remote Desktop Connection Broker (RD Connection Broker)
RD Connection Brokerは、RDセッション・ホスト・サーバー・ファームへの受信接続を管理します。
- リモートデスクトップセッションホスト(RDセッションホスト)
RDセッションホストは、セッションベースのデスクトップおよびアプリケーションへのアクセスをユーザーに提供します。
- 柔軟なネットワーク・ロード・バランサ
OCIフレキシブル・ネットワーク・ロード・バランサは、1つのエントリ・ポイントから仮想クラウド・ネットワーク内の複数のバックエンド・サーバーへの自動トラフィック分散を提供します。接続レベルで動作し、Layer3/Layer4 (IPプロトコル)データに基づいて受信クライアント接続を正常なバックエンド・サーバーにロード・バランシングします。
- セキュリティ・リスト
サブネットごとに、サブネットの内外で許可する必要があるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。
- FastConnect Oracle Cloud Infrastructure
FastConnectは、データ・センターとOracle Cloud Infrastructureとの専用のプライベート接続を簡単に作成する方法を提供します。FastConnectは、インターネットベースの接続と比較して、高帯域幅オプションとより信頼性の高いネットワーキング体験を提供します。
- インターネット・ゲートウェイ
インターネット・ゲートウェイを使用すると、VCN内のパブリック・サブネットとパブリック・インターネット間のトラフィックが許可されます。
推奨
- VCN
VCNを作成する際、VCNのサブネットにアタッチする予定のリソース数に基づいて、必要なCIDRブロックの数および各ブロックのサイズを決定します。標準のプライベートIPアドレス領域内にあるCIDRブロックを使用します。
プライベート接続を設定する他のネットワーク(Oracle Cloud Infrastructure、オンプレミス・データ・センターまたは別のクラウド・プロバイダ)と重複しないCIDRブロックを選択します。
VCNを作成した後、そのCIDRブロックを変更、追加および削除できます。
サブネットを設計する際は、トラフィック・フローおよびセキュリティ要件を考慮してください。特定の層またはロール内のすべてのリソースを、セキュリティ境界として機能する同じサブネットにアタッチします。
リージョナル・サブネットを使用します。
- ネットワーク・セキュリティ・グループ(NSG)
NSGを使用して、特定のVNICに適用されるイングレスおよびエグレス・ルールのセットを定義できます。NSGではVCNのサブネット・アーキテクチャをアプリケーションのセキュリティ要件から分離できるため、セキュリティ・リストではなくNSGを使用することをお薦めします。
注意事項
この参照アーキテクチャをデプロイするときは、次の点を考慮してください。
- 可用性
高可用性を実現するには、各リモートデスクトップサービス役割の複数のインスタンスを配備するときに、異なるフォルトドメインの使用を検討してください。
- ライセンス
OCIは、Microsoft Windows Serverを実行しているコンピュート・インスタンスのライセンスを提供します。追加のライセンス要件については、Microsoftの担当者にお問い合わせください。