Documentação do Oracle Cloud Infrastructure

Usando uma Imagem do Windows

Para criar um pool de desktops usando o Windows, você deve trazer sua própria licença.

Observação

  • A Oracle fornece imagens básicas do Windows de uso geral que são pré-configuradas para uso com o Secure Desktops. Abra uma solicitação de serviço para solicitar uma dessas imagens. Para obter mais informações, consulte Imagens com Suporte.
  • A OCI não fornece imagens ou licenças para o Windows 10 ou o Windows 11. Para usar uma imagem do Windows, você deve cumprir seu contrato de licença da Microsoft. Consulte Microsoft Licensing on Oracle Cloud Infrastructure.

Importando Imagens Personalizadas do Windows

O serviço Compute permite importar imagens de Windows criadas fora do Oracle Cloud Infrastructure. Por exemplo, você pode importar imagens em execução em VMs (máquinas físicas) ou virtuais locais ou VMs em execução no Oracle Cloud Infrastructure Classic. Em seguida, você pode iniciar suas imagens importadas em máquinas virtuais de computação.

Cuidado

  • O suporte do Oracle Cloud Infrastructure para iniciar uma instância em um sistema operacionais personalizado não garante que a instância também seja suportada pelo fornecedor de sistema operacional.
  • O Windows 10/11 exige que você traga sua própria licença (BYOL). Para ativar essa opção, a imagem personalizada deve especificar o sistema operacional Windows.
  • Por padrão, os desktops do Windows são provisionados em DVH (Dedicated Virtual Machine Hosts). Se o seu contrato de licença permitir a virtualização de desktops Windows 10/11 em um ambiente de nuvem, você poderá desativar o provisionamento DVH adicionando a tag apropriada à imagem usada para criar o pool de desktops. Consulte Tags de Áreas de Trabalho Seguras.

Requisitos de Imagem de Origem do Windows

As imagens personalizadas devem atender aos seguintes requisitos:

  • O tamanho máximo da imagem é de 400 GB.
  • A imagem deve ser configurada para um tipo de inicialização suportado.
    • Para uma imagem do Windows 10, use o tipo de inicialização UEFI ou BIOS legado.
    • Para uma imagem do Windows 11, use apenas o tipo de inicialização UEFI.
  • O processo de inicialização não deve exigir a presença de volumes de dados adicionais para uma inicialização bem-sucedida.
  • Não é possível criptografar a imagem do disco.
  • A imagem do disco deve ser um arquivo VMDK ou QCOW2.
    • Crie o arquivo de imagem clonando o volume de origem, e não criando um snapshot.
    • Os arquivos VMDK devem ser do tipo "single growable" (monolithicSparse) ou do tipo "stream optimized" (streamOptimized), ambos consistindo em um só arquivo VMDK. Não há suporte para todos os outros formatos VMDK, como aqueles que usam vários arquivos ou volumes divididos, ou que contêm snapshots.
  • A interface de rede deve utilizar DHCP para descobrir as definições de rede. Quando você importa uma imagem personalizada, as interfaces de rede existentes não se recriam. Qualquer interface de rede existente é substituída por uma só NIC depois que o processo de importação é concluído. Você pode anexar VNICs adicionais depois de iniciar a instância importada.
  • A configuração de rede não deve codificar o endereço MAC da interface de rede.
  • Para imagens do Windows 11, a Inicialização Segura e o Módulo de Plataforma Confiável (TPM) devem ser desativados para o Windows durante a criação da imagem se a sua plataforma de virtualização não oferecer suporte a elas (por exemplo, VirtualBox). Antes da instalação, use o Editor de registro para adicionar novas chaves de registro:
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassRAMCheck Valor DWORD (32 bits) 1.
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassSecureBootCheck Valor DWORD (32 bits) 1.
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassTPMCheck Valor DWORD (32 bits) 1.

Preparando VMs Windows para Importação

Para poder importar uma imagem personalizada do Windows, você deve preparar a imagem para garantir que instâncias iniciadas da imagem possam ser inicializadas corretamente e que a conexão de rede funcionará corretamente.

Você pode executar as tarefas descritas nesta seção no sistema de origem em execução. Se você tiver preocupações sobre a modificação do sistema de origem ao vivo, poderá exportar a imagem como está, importá-la para o Oracle Cloud Infrastructure e, em seguida, iniciar uma instância com base na imagem personalizada. Você pode, então, estabelecer conexão com a instância usando a console VNC e executar as etapas de preparação.

Importante

A unidade do sistema na qual o Windows está instalado será importada para o Oracle Cloud Infrastructure. Todas as partições na unidade se seguirão, por meio da imagem importada. Quaisquer outras unidades não serão importadas e você deverá recriá-las na instância após a importação. Em seguida, você precisará mover manualmente os dados nas unidades que não são do sistema.

Para preparar uma VM do Windows para importação, use uma das seguintes opções:

Preparando uma VM com o Image Builder do Secure Desktops

Use o Criador de Imagens do Secure Desktops para preparar uma VM como uma imagem para uso com o Secure Desktops.

Esse utilitário verifica os requisitos, executa uma instalação autônoma e configura uma imagem (no formato VMDK) que pode ser carregada no Oracle Cloud Infrastructure.

Observação

  • Este utilitário cria imagens para o Windows 10 ou 11 (64 bits) edições Enterprise ou Professional. Versões de avaliação não são suportadas.
  • Este utilitário requer o uso do Oracle VirtualBox versão 7.0.18. Se estiver usando uma solução de software de virtualização diferente, siga o método manual para preparar a VM.
  • Este utilitário seleciona automaticamente o firmware UEFI para uma imagem do Windows 11.

Para usar o Criador de Imagem do Secure Desktops:

  1. Consulte OCI Secure Desktops: How To Create a Windows Image For Use With OCI Secure Desktops Using the OCI Secure Desktops Image Builder (KB91837).
  2. Reveja as instruções e faça download de todos os pacotes necessários para o sistema local.
  3. Faça download do arquivo do aplicativo (anexado no artigo de conhecimento) para o sistema local.
  4. Execute o arquivo de aplicativo como Administrador e siga todos os prompts.
  5. Após a conclusão do processo, o utilitário exibe o local do arquivo de imagem VMDK que foi criado.

Próxima Etapa:

Importe o arquivo de imagem VMDK para o Oracle Cloud Infrastructure.

Preparando uma VM com o Método Manual

Use o método manual para preparar uma VM como uma imagem para uso com o Secure Desktops.

Observação

Para obter orientação sobre como preparar manualmente a VM usando o VirtualBox, consulte Desktops Seguros do OCI: Windows 10/11 para preparação do OCI (KB60923).

Para preparar manualmente uma VM do Windows:

  1. Siga as diretrizes de segurança da sua organização para garantir que o sistema Windows esteja protegido. Isso pode incluir, mas não se limita às seguintes tarefas:
    • Instalar as atualizações de segurança mais recentes para o sistema operacional e os aplicativos instalados.
    • Ative o firewall e configure-o para que você só ative as regras necessárias.
    • Desativar contas privilegiadas desnecessárias.
    • Usar senhas fortes para todas as contas.
  2. Defina seu servidor de ativação de licença: 
    slmgr.vbs /skms <KMS_server_name_or_IP>:1688
  3. Crie um backup do volume raiz.
  4. Se a VM tiver armazenamento conectado remotamente, como NFS ou volumes de bloco, configure quaisquer serviços que dependam desse armazenamento para serem iniciados manualmente. O armazenamento conectado remotamente não estará disponível na primeira vez que uma instância importada for inicializada no Oracle Cloud Infrastructure.
  5. Certifique-se de que todas as interfaces de rede usem DHCP e de que o endereço MAC e endereços IP não sejam codificados em disco rígido. Consulte a documentação do sistema para saber as etapas necessárias para executar a configuração de rede para o seu sistema.
  6. Instale o Oracle Cloud Agent. Para obter o arquivo do Oracle Cloud Agent, entre em contato com o suporte técnico da Oracle.
  7. Faça Download dos Drivers Oracle VirtIO para Microsoft Windows.
  8. Instale os drivers (selecionando o tipo de instalação Personalizado) e reinicie a instância.
  9. Desative LockScreen: 
    try {
  Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -ErrorAction Stop 
} catch {
 New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Force
} try {
 New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1 -PropertyType Dword -ErrorAction Stop
 Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1  -ErrorAction Stop
} catch {
 echo "done"
}
  10. Desativar RDP: 
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 1
  11. Defina o servidor de tempo como OCI: 
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'Type' -Value NTP -Type String
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'AnnounceFlags' -Value 5 -Type DWord
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer' -Name 'Enabled' -Value 1 -Type DWord
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'NtpServer' -Value '169.254.169.254,0x9' -Type String
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient' -Name 'SpecialPollInterval' -Value 900 -Type DWord
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxPosPhaseCorrection' -Value 1800 -Type DWord
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxNegPhaseCorrection' -Value 1800 -Type DWord
  12. Opcionalmente, instale qualquer software adicional ao qual você deseja que seus usuários tenham acesso.
  13. Instale o Cloudbase-Init. Durante a instalação:
    • Nome de usuário: Administrador
    • Não selecione a opção para executar o serviço Cloudbase-Init como LocalSystem.

      O uso dessa opção torna determinados recursos do SO indisponíveis durante a fase de inicialização da nuvem e pode resultar em volumes de desktop ausentes quando a área de trabalho é iniciada, exigindo que você execute o script attach_volume.ps1 para resolver o problema. Consulte Volumes da área de trabalho ausentes ao abrir a área de trabalho do Windows.

    • Não selecione as opções para executar o Sysprep no Cloudbase-Init e fazer shutdown do sistema.

    Quando a instalação estiver concluída, edite C:\Program Files\Cloudbase Solutions\Cloudbase-Init\conf\cloudbase-init.conf e adicione retry_count=100.

  14. Crie o script PowerShell C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1 para ativar o RDP no Oracle Cloud Infrastructure quando o Cloudbase-Init for executado: 
    #ps1_sysnative 
# 
# location C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1 
# 
$script_path=$Env:ProgramData+"\Oracle\OCI\Desktops"
$log="$script_path\enable_rdp.txt" 
Start-Transcript -Path $log -Append 
Write-Host "Enabling rdp port" | Out-Default 
Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default 
date | Out-Default 
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections -Value 0 | Out-Default 
Enable-NetFirewallRule -DisplayGroup "Remote Desktop" | Out-Default 
# 
Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default
  15. Se você planeja iniciar a imagem importada em mais de uma instância de VM, crie uma imagem generalizada do disco da inicialização. As informações específicas do computador, como identificadores exclusivos, são removidas de uma imagem generalizada. Quando você cria instâncias com base em uma imagem generalizada, os identificadores exclusivos são gerados novamente. Isso impede que duas instâncias criadas com base na mesma imagem colidam nos mesmos identificadores.
  16. Execute o Verificador de Prontidão de Imagem do OCI Secure Desktops para verificar se sua VM atende aos requisitos de conformidade a serem criados como uma imagem para uso com o Secure Desktops.

    Essa ferramenta pode atualizar o Network Time Protocol (NTP), o Remote Desktop Protocol (RDP) e as configurações de tela de bloqueio necessárias para uma imagem do Windows do Secure Desktops.

    Para obter mais informações sobre esse utilitário e fazer download do arquivo do aplicativo, consulte OCI Secure Desktops: How To Confirm Compliance Using The OCI Secure Desktops Image Readiness Checker (KB100881)

  17. Clone a VM interrompida como um arquivo VMDK ou QCOW2. Consulte a documentação das ferramentas fornecida com seu ambiente de virtualização para obter as etapas.

Próxima Etapa:

Importe o arquivo de imagem VMDK ou QCOW2 para o Oracle Cloud Infrastructure.

Importando uma VM Baseada no Windows

Depois de preparar uma imagem Windows para importação, faça upload do arquivo de imagem e importe a imagem.

  1. Faça upload do arquivo de imagem para um bucket do serviço Object Storage. Use a CLI (command line interface), para executar o seguinte comando: 
    oci --profile <profile in $HOME/.oci/config> --region <region> os object put\
    -bn <name of bucket> \
    -ns <name space> \
    --name <The name of the object in the bucket> \
    --file <path to the QCOW2 or VMDK image>
  2. Crie uma imagem personalizada com base no objeto de upload no bucket: 
    oci --profile <profile in $HOME/.oci/config> --region <region> \
   compute image import from-object \
   -ns <name space> \
   -bn <name of bucket> \
   --name <The name of the object in the bucket> \
   --compartment-id <The OCID of the compartment you want the custom image to be created in> \
   --display-name <A user-friendly name for the new custom image> \
   --launch-mode PARAVIRTUALIZED \
   --source-image-type QCOW2|VMDK

    A imagem importada aparece na lista de imagens Personalizadas do compartimento, com um status Importando. Quando a importação é concluída com sucesso, o status é alterado para Disponível.

    Se o status falhar na alteração, ou nenhuma entrada aparecer na lista de imagens Personalizadas, a importação falhará. Verifique se você tem acesso a leitura para o objeto do Object Storage e se o objeto contém uma imagem suportada.

  3. Atualize a imagem personalizada para especificar o sistema operacional Windows e a versão do sistema operacional Windows10 ou Windows11: 
    oci --profile <profile in $HOME/.oci/config> --region <region> \
   compute image update --image-id <custom image ocid> \
   --operating-system Windows \
   --operating-system-version <Windows10 or Windows11>
  4. Certifique-se de que a imagem personalizada esteja definida no modo de inicialização correto.
    • Para uma imagem do Windows 10, use o tipo de inicialização UEFI ou BIOS legado.
    • Para uma imagem do Windows 11, use somente o tipo de inicialização UEFI.

    Para ajustar o modo de inicialização:

    1. Abra o menu de navegação e clique em Compute. Em Compute, clique em Personalizar Imagens.
    2. Clique na imagem personalizada em que você está interessado.
    3. Clique em Ações e selecione Editar recursos de imagem. Para o Firmware, selecione o modo de inicialização apropriado.
    4. Clique em Salvar alterações.
  5. (Windows 11) Configure a imagem personalizada para instâncias blindadas.

    O Windows 11 inclui suporte para instâncias blindadas. As instâncias blindadas usam uma combinação de Inicialização Segura, Inicialização Medida e Módulo de Plataforma Confiável (TPM) para proteger a segurança de firmware para se defender contra software mal-intencionado de nível de inicialização.

    • A Inicialização Segura é um recurso da especificação UEFI (Unified Extensible Firmware Interface) que impede que carregadores de inicialização e sistemas operacionais não autorizados sejam inicializados.
    • A Inicialização Medida aumenta a segurança da inicialização armazenando medidas de componentes de inicialização, como carregadores de inicialização, drivers e sistemas operacionais.
    • O TCM (Trusted Platform Module) é um chip de segurança especializado usado pela Inicialização Medida para armazenar as medições de inicialização. A ativação da inicialização medida para VMs ativa automaticamente o TPM.

    Para ativar instâncias blindadas:

    1. Abra o menu de navegação e clique em Compute. Em Compute, clique em Personalizar Imagens.
    2. Clique na imagem personalizada em que você está interessado.
    3. Clique em Ações e selecione Editar Recursos de Imagem. Defina o seguinte:
      • No caso de Firmware, verifique se apenas UEFI-64 está selecionado.
      • Garanta que a Inicialização Segura esteja ativada.
    4. Clique em Salvar alterações.

    Como resultado, quando você cria um pool de desktops usando essa imagem, o Secure Desktops detecta essa configuração de imagem e ativa automaticamente instâncias de desktops blindadas.

  6. Antes de disponibilizar sua imagem para uso com o Secure Desktops, recomendamos que você teste a imagem criando manualmente uma instância de computação com a imagem e estabelecendo uma conexão de console. Consulte Diagnosticando e Solucionando Problemas de Instâncias Usando Conexões da Console de Instâncias.
  7. Adicione a tag de imagem necessária para disponibilizar a imagem para uso com o Secure Desktops.

    oci:desktops:is_desktop_image=true

    Consulte Tags de Áreas de Trabalho Seguras.