Documentação do Oracle Cloud Infrastructure

Configurando a Tenancy

Para configurar a tenancy para Secure Desktops, o administrador da tenancy deve configurar compartimentos, criar políticas para usuários e grupos e configurar as imagens, o armazenamento e a rede disponíveis para uso do administrador da área de trabalho.

Observação

A Oracle recomenda o uso da Pilha do Secure Desktops Resource Manager (ORM) para simplificar o processo de configuração da tenancy. A pilha do ORM auxilia em várias tarefas de processo para ajudar a garantir que a tenancy seja configurada de acordo com as melhores práticas.

  • Criando políticas, grupos dinâmicos e acesso do usuário para o serviço Secure Desktops.
  • Criar ou integrar recursos de rede existentes.
  • Importando uma imagem personalizada para uso em um pool do Secure Desktops.

Faça download do arquivo de configuração da pilha do ORM necessário no Oracle Cloud Marketplace.

Para obter instruções sobre como usar a pilha do ORM, consulte OCI Secure Desktops: How To Configure Tenancy Using ORM Stack (KB48885).

Configurando Compartimentos

Configure os compartimentos exigidos pelo Secure Desktops para controlar o acesso aos pools de desktop.

  1. Trabalhe com o administrador da área de trabalho para entender quais compartimentos são necessários.

    Use compartimentos para controlar o acesso a áreas de trabalho. Por exemplo, é provável que você precise de um compartimento por pool de desktops e haverá vários pools de desktop. Consulte Noções Básicas de Acesso do Usuário da Área de Trabalho a um Pool de Áreas de Trabalho e Pools de Áreas de Trabalho. Você também pode precisar usar compartimentos para manter outros recursos separados.

  2. Crie compartimentos conforme descrito em Melhores Práticas de Aprendizagem para Configurar a sua Tenancy.

Criando Políticas para o Serviço

Defina um grupo dinâmico e adicione políticas para permitir que o serviço Secure Desktops seja executado na tenancy.

  1. Adicione um grupo dinâmico para pools de desktop nos compartimentos que você gerencia. Consulte Gerenciando Grupos Dinâmicos para obter instruções sobre como criar grupos dinâmicos. Para definir o grupo dinâmico usando compartimentos, siga estas etapas:
    1. Dê ao grupo dinâmico um nome que você usará nas instruções de política, por exemplo, DesktopPoolDynamicGroup.
    2. Escolha a opção Corresponder a todas as regras definidas abaixo para o grupo dinâmico.
    3. Adicione a seguinte regra de correspondência para identificar o recurso de pool de desktops: 
      resource.type = 'desktoppool'
    4. Opcionalmente, adicione uma regra de correspondência adicional para identificar compartimentos que conterão pools de área de trabalho: 
      Any {resource.compartment.id = '<ocid>', resource.compartment.id = '<ocid>'}

      Em que <ocid> é o ID do Recurso de cada compartimento. Por exemplo:

      Any {resource.compartment.id = '<OCID-OracleLinux8Standard>', resource.compartment.id = '<OCID-OracleLinux8Extra>'}
  2. No compartimento raiz, adicione as políticas a seguir para cada grupo dinâmico adicionado. Isso permite que os pools de área de trabalho nos grupos dinâmicos acessem os recursos necessários no nível da tenancy.

    Para obter uma introdução às políticas, consulte Introdução a Políticas.

    Para criar uma política, consulte Criar uma Política com a Console.

    Nos exemplos a seguir, os grupos dinâmicos são avaliados como se pertencessem ao domínio de identidades padrão. Se você estiver usando um domínio de identidades não padrão, inclua o nome do domínio de identidades antes do grupo dinâmico na instrução de política. Para obter mais informações, incluindo exemplos de sintaxe, consulte Sintaxe de Política.

    Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

    Em que <dynamic-group> é o nome do grupo dinâmico que especifica um conjunto de pools de área de trabalho.

  3. No compartimento raiz ou no compartimento acima dos compartimentos do pool de área de trabalho que você gerencia, adicione as políticas a seguir para permitir que os pools de área de trabalho em cada grupo dinâmico interajam com os recursos necessários.

    Para criar uma política, consulte Criar uma Política com a Console.

    Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
    Onde:
    • <dynamic-group> é o nome do grupo dinâmico que especifica um conjunto de pools de área de trabalho.
    • <desktops-network-compartment> é o nome do compartimento que contém a VCN usada pelos pools de desktop. Se esse compartimento não for filho dos compartimentos acima dos compartimentos do pool de desktops, a política deverá ser especificada no compartimento raiz.
    • <image-compartment> é o nome do compartimento que contém instâncias de imagem da área de trabalho usadas pelos pools da área de trabalho. Se esse compartimento não for filho dos compartimentos acima dos compartimentos do pool de área de trabalho, a política deverá ser especificada no compartimento raiz.
    • <desktop-compartment> é o nome de:
      • O compartimento que contém pools de área de trabalho e volumes e recursos de armazenamento associados.
      • Um pai dos compartimentos que contêm pools de área de trabalho.
    Observação

    Se você estiver planejando criar pools de desktop privados, políticas adicionais poderão ser necessárias. Para obter mais informações, consulte Ativando o Acesso à Área de Trabalho Privada.

    Este exemplo mostra as políticas necessárias para dois desktops em dois compartimentos independentes, OracleLinux8Standard e OracleLinux8Extra. Se todos os compartimentos em um pai comum usarem as mesmas políticas, você poderá listá-los uma vez usando o compartimento pai para evitar a necessidade de duplicação.

    Allow dynamic-group DesktopPoolDynamicGroup to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect users in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect compartments in tenancy
Allow dynamic-group DesktopPoolDynamicGroup to use tag-namespaces in tenancy

Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment VirtualCloudNetworks
Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment Images

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Standard

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Extra

Criando Políticas para Autorização de Usuário

Configure o acesso de usuário apropriado para permitir que os administradores de área de trabalho gerenciem pools e usuários de área de trabalho para estabelecer conexão com desktops.

São necessários dois tipos de grupos:

  • Grupos de administradores para os administradores de área de trabalho que usam o serviço para fornecer desktops.
  • Grupos de usuários para os usuários da área de trabalho que se conectam aos desktops.
Esses grupos são adicionais ao grupo de administradores da tenancy usado para conceder permissão para criar compartimentos, imagens e assim por diante. Consulte, por exemplo, Gerenciar Imagens Personalizadas.

A associação a um grupo de administradores não concede permissão para estabelecer conexão com uma área de trabalho no pool, somente para criar e gerenciar os pools. Um usuário de área de trabalho pode estabelecer conexão com uma área de trabalho de cada pool dentro do compartimento ao qual está autorizado a acessar. Para isolar grupos de usuários, por exemplo, para restringir o acesso a um tipo específico de área de trabalho, as áreas de trabalho devem estar em compartimentos diferentes (consulte Noções Básicas de Acesso de Usuários de Área de Trabalho a um Pool de Áreas de Trabalho) e os grupos devem ter acesso a esses compartimentos, conforme apropriado. Para obter informações sobre como criar grupos, consulte Trabalhando com Grupos.

Para obter uma introdução às políticas, consulte Introdução a Políticas.

Para criar uma política, consulte Criar uma Política com a Console.

  1. Adicionar políticas para administradores de área de trabalho:

    • Política para família de pools de desktop:
      Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>

      Por exemplo:

      Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Standard
Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Extra
    • Política para recursos de leitura:
      Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>

      Por exemplo:

      Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Standard
Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Extra
    • Política para família de redes virtuais:
      Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>

      Por exemplo:

      Allow group Desktop_Admins to use virtual-network-family in compartment VirtualCloudNetworks
    • Política para imagens de instância:
      Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

      Por exemplo:

      Allow group Desktop_Admins to use instance-images in compartment Images

  2. Adicionar políticas para usuários da área de trabalho:

    • Política para todos os pools de desktop em um compartimento:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

      Por exemplo:

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
Allow group IT_Users to use published-desktops in compartment OracleLinux8Extra
    • Política para pools de desktop específicos em um compartimento:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

      Opcionalmente, use instruções where com as seguintes variáveis de contexto para especificar um ou mais pools de desktop por nome ou OCID:

      • target.desktoppool.name
      • target.desktoppool.id

      Por exemplo:

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.name = '<pool-name>'
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where any {target.desktoppool.name = '<pool-name_1>', target.desktoppool.name = '<pool-name_2>'...}
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.id = '<pool-ocid>'

Configurando a Rede

Configure a Rede Virtual na Nuvem (VCN) para estabelecer conexão com o Secure Desktops.

Cada pool de desktops requer acesso a uma sub-rede adequada para conectar o serviço Secure Desktops às instâncias da área de trabalho. Esta sub-rede pode ser privada ou pública. Ao criar a sub-rede para seus pools de área de trabalho, certifique-se de que o número de endereços IP disponíveis na sub-rede corresponda ao número de desktops que você deseja provisionar. Por exemplo, uma sub-rede de classe C só pode fornecer 254 endereços IPv4.

Grupos de Segurança de Rede

Na criação do pool de área de trabalho, o Secure Desktops cria um Grupo de Segurança de Rede (NSG) com regras de segurança que fornecem conectividade de rede para o serviço. Esse NSG, desktop_pool_instances_<ocid>_nsg, só está visível na instância de computação associada à área de trabalho.

Se você optar por usar NSGs adicionais, crie os NSGs e aplique-os ao criar o pool de desktops. Consulte Parâmetros do Pool de Desktop.

Consulte Grupos de Segurança de Rede para obter mais informações.

Gateway de Serviço

Para usar o plug-in do Oracle Cloud Agent (obrigatório para desktops Windows e Linux), configure um gateway de serviço para sua VCN. As etapas incluem a criação do gateway de serviço, a atualização do roteamento da sub-rede adicionando uma regra de roteamento e a adição de uma regra de segurança de saída para permitir o tráfego desejado. Consulte Acesso aos Serviços Oracle: Gateway de Serviço.

Para obter mais informações sobre o plug-in do Oracle Cloud Agent, consulte Oracle Cloud Agent.

Observação

Para ativar o acesso à área de trabalho privada, consulte Ativando o Acesso à Área de Trabalho Privada para obter requisitos de rede adicionais.

Importando Imagens

Importe imagens e marque-as corretamente para que o Secure Desktops as reconheça como imagens a serem usadas em um pool de desktops.

Importar imagens no compartimento e adicionar tags de imagem:

  • Obrigatório:

    oci:desktops:is_desktop_image true

    Esta tag permite ao serviço determinar quais imagens exibir como uma opção quando você cria um pool de desktops.

  • Opcional:
    • oci:desktops:image_os_type [Oracle Linux | Windows]
    • oci:desktops:image_version <version>

      em que <version> é uma referência significativa para seu uso.

Para obter mais informações, consulte Secure Desktops Tags.

Exportando Imagens para Outra Região

Uma imagem só existe em uma única região de uma tenancy. Se quiser disponibilizar uma imagem em outra região em sua tenancy, exporte a imagem e importe-a para a outra região.

  1. Crie um bucket de armazenamento de objetos para armazenar a imagem.
  2. Exporte a imagem para o bucket de armazenamento usando o formato de imagem .oci.
  3. Depois que a exportação for concluída, alterne para o bucket e crie uma solicitação pré-autenticada para a imagem. Copie o URL fornecido.
  4. Alterne para a tenancy e a região de recebimento. Importe a imagem do URL do armazenamento de objetos usando o tipo OCI.
  5. Adicione as tags apropriadas à imagem antes de usá-la como imagem da área de trabalho.
  6. Depois de importar a imagem para todas as regiões necessárias, você poderá excluir o objeto de imagem do bucket de armazenamento.

Alocando Hosts de Máquina Virtual Dedicados

Se a imagem do pool de área de trabalho for para desktops Windows, os desktops no pool serão hospedados em Hosts de Máquina Virtual Dedicados (DVH) por padrão. Certifique-se de alocar recursos DVH suficientes na tenancy para executar os desktops do Windows.

Para obter mais informações, consulte Hosts de Máquina Virtual Dedicados.

Observação

  • Se o seu contrato de licença permitir virtualizar desktops do Windows 10/11 em um ambiente de nuvem, você poderá desativar o provisionamento de DVH adicionando a tag apropriada ao criar o pool de desktops. Consulte Tags de Desktops Seguros.
  • O Secure Desktops não aloca DVHs para pools de desktop Linux.

Defina o limite da tenancy para hosts de máquina virtual dedicados para permitir que todos os desktops do Windows sejam provisionados em máquinas virtuais dedicadas. Você não precisa iniciar os hosts. O Secure Desktops faz isso conforme necessário.

Usar Formas Apropriadas para Pools de Desktop

Para pools de área de trabalho do Windows, ou seja, pools de área de trabalho que exigem hosts de máquina virtual dedicados, use uma das seguintes formas preferenciais, pois elas são pré-mapeadas para formas DVH para alocação de OCPUs e memória:

  • Flex Low (2 OCPUs, 4 GB de RAM)
  • Flex Medium (4 OCPUs, 8 GB de RAM)
  • Flex High (8 OCPUs, 16 GB de RAM)
Observação

  • Durante a criação do pool de desktops, o Secure Desktops calcula o número necessário de hosts de máquina virtual dedicados a serem alocados para um pool de desktops.
  • Quando um pool de área de trabalho é excluído, todos os hosts de máquina virtual dedicados alocados para esse pool de área de trabalho também são excluídos.

Como alternativa, o administrador pode escolher uma forma de VM específica em um conjunto de formas de VM suportadas pela imagem do pool. Nesse caso, o Secure Desktops designa uma forma DVH correspondente para hospedar a forma da VM.

A tabela a seguir lista as formas de VM suportadas e suas formas DVH correspondentes:

Forma da VM Forma de DVH
VM.Standard2.2 DVH.Standard2.52: Flex baixo
VM.Standard2.4 DVH.Standard2.52:Flex Médio
VM.Standard2.8 DVH.Standard2.52: Flex alto
VM.Standard3. Flex DVH.Standard3.64
VM.Standard.E3. Flexível DVH.Standard.E3.128
VM.Standard.E4. Flexível DVH.Standard.E4.128
VM.DenselIO2.8 DVH.DenseIO2.52:Flex baixo
VM.DenselIO2.16 DVH.DenseIO2.52:Médio flexível
VM.DenselIO2.24 DVH.DenseIO2.52:Flex alto
VM.Optimized3. Flexível DVH.Optimized3.36
VM.Standard.E2.2 DVH.Standard.E2.64: Flex baixo
VM.Standard.E2.4 DVH.Standard.E2.64:Médio flexível
VM.Standard.E2.8 DVH.Standard.E2.64: Flex alto
Observação

Se uma forma de VM não suportada for especificada, a criação do pool falhará e um erro será retornado.

Se você quiser especificar uma forma DVH específica para seus desktops, poderá adicionar a tag apropriada ao criar o pool de desktops. Consulte Tags de Desktops Seguros.