Documentação do Oracle Cloud Infrastructure

Configurando a Tenancy

Para configurar a tenancy para o Secure Desktops, o administrador da tenancy deve configurar compartimentos, criar políticas para usuários e grupos e configurar as imagens, o armazenamento e a rede disponíveis para o administrador da área de trabalho usar.

Observação

A Oracle recomenda o uso da Pilha do ORM (Secure Desktops Resource Manager) para simplificar o processo de configuração da tenancy. A pilha do ORM auxilia em várias tarefas de processo para ajudar a garantir que a tenancy seja configurada de acordo com as melhores práticas.

  • Criação de políticas, grupos dinâmicos e acesso de usuário para o serviço Secure Desktops.
  • Criação ou integração de recursos de rede existentes.
  • Importação de uma imagem personalizada para uso em um pool do Secure Desktops.

Faça o download do arquivo de configuração de pilha ORM necessário no Oracle Cloud Marketplace.

Para obter instruções sobre como usar a pilha ORM, consulte Desktops Seguros do OCI: Como Configurar a Tenancy Usando a Pilha ORM (KB48885).

Configurando Compartimentos

Configure os compartimentos exigidos pelo Secure Desktops para controlar o acesso aos pools de desktops.

  1. Trabalhe com o administrador da área de trabalho para entender quais compartimentos são necessários.

    Use compartimentos para controlar o acesso aos desktops. Por exemplo, é provável que você precise de um compartimento por pool de desktops e haverá vários pools de desktops. Consulte Understanding Desktop User Access to a Desktop Pool e Desktop Pools. Talvez você também precise usar compartimentos para manter outros recursos separados.

  2. Crie compartimentos conforme descrito em Conheça as Melhores Práticas para Configurar sua Tenancy.

Criando Políticas para o Serviço

Defina um grupo dinâmico e adicione políticas para permitir que o serviço Secure Desktops seja executado na tenancy.

  1. Adicione um grupo dinâmico para pools de desktops nos compartimentos que você gerencia. Consulte Gerenciando Grupos Dinâmicos para obter instruções sobre como criar grupos dinâmicos. Para definir o grupo dinâmico usando compartimentos, siga estas etapas:
    1. Dê ao grupo dinâmico um nome que você usará nas instruções de política, por exemplo, DesktopPoolDynamicGroup.
    2. Escolha a opção Corresponder todas as regras definidas abaixo para o grupo dinâmico.
    3. Adicione a seguinte regra de correspondência para identificar o recurso do pool de desktops: 
      resource.type = 'desktoppool'
    4. Opcionalmente, adicione uma regra de correspondência adicional para identificar compartimentos que conterão pools de desktops: 
      Any {resource.compartment.id = '<ocid>', resource.compartment.id = '<ocid>'}

      Em que <ocid> é o ID do Recurso de cada compartimento. Por exemplo:

      Any {resource.compartment.id = '<OCID-OracleLinux8Standard>', resource.compartment.id = '<OCID-OracleLinux8Extra>'}
  2. No compartimento raiz, adicione as políticas a seguir para cada grupo dinâmico adicionado. Isso permite que os pools de desktops nos grupos dinâmicos acessem os recursos necessários no nível da tenancy.

    Para obter uma introdução às políticas, consulte Conceitos Básicos de Políticas.

    Para criar uma política, consulte Criar uma Política com a Console.

    Nos exemplos a seguir, os grupos dinâmicos são avaliados como se pertencessem ao domínio de identidades padrão. Se você estiver usando um domínio de identidades não padrão, deverá incluir o nome do domínio de identidades antes do grupo dinâmico na instrução de política. Para obter mais informações, incluindo exemplos de sintaxe, consulte Sintaxe de Política.

    Allow dynamic-group <dynamic-group> to {DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

    Em que <dynamic-group> é o nome do grupo dinâmico que especifica um conjunto de pools de desktops.

  3. No compartimento raiz ou no compartimento acima dos compartimentos do pool de desktops que você gerencia, adicione as políticas a seguir para permitir que os pools de desktops em cada grupo dinâmico interajam com os recursos necessários.

    Para criar uma política, consulte Criar uma Política com a Console.

    Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
    Onde:
    • <dynamic-group> é o nome do grupo dinâmico que especifica um conjunto de pools de desktops.
    • <desktops-network-compartment> é o nome do compartimento que contém a VCN usada pelos pools de desktops. Se esse compartimento não for um filho dos compartimentos acima dos compartimentos do pool de desktops, a política deverá ser especificada no compartimento raiz.
    • <image-compartment> é o nome do compartimento que contém instâncias de imagem da área de trabalho usadas pelos pools da área de trabalho. Se esse compartimento não for um filho dos compartimentos acima dos compartimentos do pool de desktops, a política deverá ser especificada no compartimento raiz.
    • <desktop-compartment> é o nome de um dos seguintes:
      • O compartimento que contém pools de desktops e volumes e recursos de armazenamento associados.
      • Um pai dos compartimentos que contêm pools de área de trabalho.
    Observação

    Se você estiver planejando criar pools de desktops privados, talvez sejam necessárias políticas adicionais. Para obter mais informações, consulte Como Ativar o Acesso à Área de Trabalho Privada.

    Este exemplo mostra as políticas necessárias para dois desktops em dois compartimentos independentes, OracleLinux8Standard e OracleLinux8Extra. Se todos os compartimentos em um pai comum usarem as mesmas políticas, você poderá listá-los uma vez usando o compartimento pai para evitar a necessidade de duplicação.

    Allow dynamic-group DesktopPoolDynamicGroup to {DOMAIN_READ} in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect users in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect compartments in tenancy
Allow dynamic-group DesktopPoolDynamicGroup to use tag-namespaces in tenancy

Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment VirtualCloudNetworks
Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment Images

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Standard

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Extra

Criando Políticas para Autorização do Usuário

Configure o acesso apropriado do usuário para permitir que os administradores de área de trabalho gerenciem pools e usuários de área de trabalho para estabelecer conexão com desktops.

São necessários dois tipos de grupos:

  • Grupos de administradores para os administradores de desktop que usam o serviço para fornecer desktops.
  • Grupos de usuários para os usuários de desktop que se conectam aos desktops.
Esses grupos são adicionais ao grupo de administradores da tenancy usado para conceder permissão para criar compartimentos, imagens etc. Consulte, por exemplo, Gerenciar Imagens Personalizadas.

A associação a um grupo de administradores não concede permissão para estabelecer conexão com uma área de trabalho no pool, apenas para criar e gerenciar os pools. Um usuário da área de trabalho pode se conectar a uma área de trabalho de cada um dos pools dentro do compartimento que está autorizado a acessar. Para isolar grupos de usuários, por exemplo, para restringir o acesso a um tipo específico de área de trabalho, os desktops devem estar em compartimentos distintos (consulte Noções Básicas sobre o Acesso do Usuário à Área de Trabalho a um Pool de Áreas de Trabalho) e os grupos devem ter acesso a esses compartimentos conforme apropriado. Para obter informações sobre como criar grupos, consulte Como Trabalhar com Grupos.

Para obter uma introdução às políticas, consulte Conceitos Básicos de Políticas.

Para criar uma política, consulte Criar uma Política com a Console.

  1. Adicione políticas para administradores de desktop:

    • Política para a família de pools da área de trabalho:
      Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>

      Por exemplo:

      Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Standard
Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Extra
    • Política para recursos de leitura:
      Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>

      Por exemplo:

      Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Standard
Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Extra
    • Política para a família de redes virtuais:
      Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>

      Por exemplo:

      Allow group Desktop_Admins to use virtual-network-family in compartment VirtualCloudNetworks
    • Política para imagens de instância:
      Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

      Por exemplo:

      Allow group Desktop_Admins to use instance-images in compartment Images

  2. Adicione políticas para usuários de desktop:

    • Política para todos os pools de desktops em um compartimento:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

      Por exemplo:

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
Allow group IT_Users to use published-desktops in compartment OracleLinux8Extra
    • Política para pools de desktops específicos em um compartimento:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

      Opcionalmente, use instruções where com as seguintes variáveis de contexto para especificar um ou mais pools de desktops por nome ou OCID:

      • target.desktoppool.name
      • target.desktoppool.id

      Por exemplo:

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.name = '<pool-name>'
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where any {target.desktoppool.name = '<pool-name_1>', target.desktoppool.name = '<pool-name_2>'...}
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.id = '<pool-ocid>'

Configurando a Rede

Configure a Rede Virtual na Nuvem (VCN) para estabelecer conexão com o Secure Desktops.

Cada pool de desktops requer acesso a uma sub-rede adequada para conectar o serviço Secure Desktops às instâncias da área de trabalho. Esta sub-rede pode ser privada ou pública. Ao criar a sub-rede para seus pools de área de trabalho, certifique-se de que o número de endereços IP disponíveis na sub-rede corresponda ao número de desktops que você deseja provisionar. Por exemplo, uma sub-rede de classe C só pode fornecer 254 endereços IPv4.

Grupos de Segurança de Rede

Na criação do pool de desktops, o Secure Desktops cria um Grupo de Segurança de Rede (NSG) com regras de segurança que fornecem conectividade de rede para o serviço. Esse NSG, desktop_pool_instances_<ocid>_nsg, só fica visível na instância de computação associada ao desktop.

Se você optar por usar NSGs adicionais, deverá criar os NSGs e aplicá-los ao criar o pool de desktops. Consulte Criando um Pool de Desktop.

Consulte Grupos de Segurança de Rede para obter mais informações.

Gateway de Serviço

Para usar o plug-in do Oracle Cloud Agent (obrigatório para desktops Windows e Linux), configure um gateway de serviço para sua VCN. As etapas incluem a criação do gateway de serviço, a atualização do roteamento para a sub-rede adicionando uma regra de roteamento e a adição de uma regra de segurança de saída para permitir o tráfego desejado. Consulte Acesso aos Serviços Oracle: Gateway de Serviço.

Para obter mais informações sobre o plug-in do Oracle Cloud Agent, consulte Oracle Cloud Agent.

Observação

Se quiser ativar o acesso à área de trabalho privada, consulte Ativando o Acesso à Área de Trabalho Privada para obter requisitos de rede adicionais.

Importando Imagens

Importe imagens e marque-as adequadamente para que o Secure Desktops as reconheça como imagens a serem usadas para um pool de desktops.

Importe imagens para o compartimento e adicione tags de imagem:

  • Obrigatório:

    oci:desktops:is_desktop_image verdadeiro

    Esta tag permite ao serviço determinar quais imagens exibir como opção ao criar um pool de desktops.

  • Opcional:
    • oci:desktops:image_os_type [Oracle Linux | Windows]
    • oci:desktops:image_version <version>

      em que <version> é uma referência significativa para seu uso.

Para obter mais informações, consulte Tags do Secure Desktops.

Exportando Imagens para Outra Região

Uma imagem só existe em uma única região de uma tenancy. Se quiser disponibilizar uma imagem em outra região da sua tenancy, exporte-a e importe-a para a outra região.

  1. Crie um bucket de armazenamento de objetos para armazenar a imagem.
  2. Exportar a imagem para o bucket de armazenamento usando o formato de imagem .oci.
  3. Depois que a exportação for concluída, alterne para o bucket e crie uma solicitação pré-autenticada para a imagem. Copie o URL fornecido.
  4. Alterne para a tenancy e a região de recebimento. Importe a imagem do URL de armazenamento de objetos usando o tipo OCI.
  5. Adicione as tags apropriadas à imagem antes de usá-la como imagem da área de trabalho.
  6. Após importar a imagem para todas as regiões necessárias, você poderá excluir o objeto de imagem do bucket de armazenamento.

Alocando Hosts de Máquina Virtual Dedicados

Se a imagem do pool de desktops for para desktops Windows, os desktops do pool serão hospedados em Hosts de Máquina Virtual Dedicados (DVH) por padrão. Certifique-se de alocar recursos DVH suficientes na tenancy para executar os desktops do Windows.

Para obter mais informações, consulte Hosts de Máquina Virtual Dedicados.

Observação

  • Se o seu contrato de licença permitir a virtualização de desktops Windows 10/11 em um ambiente de nuvem, você poderá desativar o provisionamento DVH adicionando a tag apropriada ao criar o pool de desktops. Consulte Tags de Áreas de Trabalho Seguras.
  • O Secure Desktops não aloca DVHs para pools de desktop Linux.

Defina o limite de tenancy para hosts de máquina virtual dedicados para permitir que todos os desktops do Windows sejam provisionados em máquinas virtuais dedicadas. Você não precisa iniciar os hosts, o Secure Desktops faz isso conforme necessário.

Usar formas apropriadas para pools de área de trabalho

Para pools de desktop do Windows, ou seja, pools de desktop que exigem hosts de máquina virtual dedicados, use uma das seguintes formas preferenciais, pois elas são pré-mapeadas para formas DVH para alocação de OCPUs e memória:

  • Flex Low (2 OCPUs, 4 GB de RAM)
  • Flex Medium (4 OCPUs, 8 GB de RAM)
  • Flex High (8 OCPUs, 16 GB de RAM)
Observação

  • Durante a criação do pool de desktops, o Secure Desktops calcula o número necessário de hosts de máquina virtual dedicados a serem alocados para um pool de desktops.
  • Quando um pool de desktops é excluído, todos os hosts de máquina virtual dedicados alocados para esse pool de desktops também são excluídos.

Como alternativa, o administrador pode escolher uma forma de VM específica em um conjunto de formas de VM suportadas pela imagem do pool. Nesse caso, o Secure Desktops designa uma forma DVH correspondente para hospedar a forma da VM.

A tabela a seguir lista as formas de VM suportadas e suas formas DVH correspondentes:

Forma da VM Forma de DVH
VM.Standard2.2 DVH.Standard2.52: Flex baixo
VM.Standard2.4 DVH.Standard2.52:Médio flexível
VM.Standard2.8 DVH.Standard2.52: Flex alto
VM.Standard3.Flex DVH.Padrão3.64
VM.Standard.E3.Flex DVH.Standard.E3.128
VM.Standard.E4.Flex DVH.Standard.E4.128
VM.DenselIO2.8 DVH.DenseIO2.52:Flex baixo
VM.DenselIO2.16 DVH.DenseIO2.52:Médio flexível
VM.DenselIO2.24 DVH.DenseIO2.52:Flex Alto
VM.Optimized3. Flexível DVH.Otimizado3.36
VM.Standard.E2.2 DVH.Standard.E2.64: Flex baixo
VM.Standard.E2.4 DVH.Standard.E2.64:Médio flexível
VM.Standard.E2.8 DVH.Standard.E2.64: Flex alto
Observação

Se uma forma de VM não suportada for especificada, a criação do pool falhará e um erro será retornado.

Se quiser especificar uma forma DVH específica para seus desktops, você poderá adicionar a tag apropriada ao criar o pool de desktops. Consulte Tags de Áreas de Trabalho Seguras.