注意:
- 此教程需要访问 Oracle Cloud。要注册免费账户,请参阅开始使用 Oracle Cloud Infrastructure Free Tier 。
- 它使用 Oracle Cloud Infrastructure 身份证明、租户和区间示例值。完成实验室时,请将这些值替换为特定于您的云环境的值。
部署 Oracle Cloud Infrastructure Secure Desktops
简介
借助 Oracle Cloud Infrastructure (OCI) 安全桌面服务,管理员可以创建一组完全相同的虚拟桌面,单个用户可以安全地访问这些虚拟桌面。管理员可以使用现有计算配置和定制映像在其租户中创建桌面池。
虚拟桌面和 OCI 配置由管理员管理,允许非技术用户轻松安全地访问虚拟桌面并将其用于日常工作。
目标
- 部署 OCI 安全桌面并安全地访问 OCI 环境。
先决条件
- 访问 OCI 租户和区间。
任务 1:创建动态组
-
创建动态组。有关更多信息,请参见 Managing Dynamic Groups 。
-
为动态组选择 Match any rules defined below 。
-
为包含桌面池的每个区间添加此表单的匹配规则。
All {resource.type = 'desktoppool', resource.compartment.id = '<OCID-Of-Compartment>'}
任务 2:为动态组创建策略
在根区间中,为在任务 1 中创建的动态组添加以下策略。这样,动态组中的桌面池就可以访问所需的租户级别资源并与之交互。
Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT} in tenancy
Allow dynamic-group <dynamic-group> to inspect users in tenancy
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy
Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <compartment-name>
<dynamic-group>
是指定一组桌面池的动态组的名称。
任务 3:为用户授权创建策略
注:对于租户管理员,不需要单独的策略。
设置相应的用户访问权限,以便桌面管理员可以管理池,桌面用户可以连接到桌面。需要两种类型的组。
-
Administrator Groups(管理员组):用于使用该服务提供桌面的桌面管理员的管理员组。
创建具有适当名称的桌面管理员组,并将以下策略分配给该组。
Allow group <desktop-administrators> to manage desktop-pool-family in compartment <compartment-name> Allow group <desktop-administrators> to read all-resources in compartment <compartment-name> Allow group <desktop-administrators> to use virtual-network-family in compartment <compartment-name> Allow group <desktop-administrators> to use instance-images in compartment <compartment-name>
注:
<desktop-administrators>
是组名。 -
用户组:连接到桌面的桌面用户的用户组。
创建具有适当名称的桌面用户组并将以下策略分配给该组。
Allow group <desktop-users> to use published-desktops in compartment <compartment-name>
任务 4:导入定制映像
要使用 OCI 安全桌面,必须导入定制映像。有关详细信息,请参阅导入图像。
注:要获取支持的映像列表,请参阅支持的映像。
将映像导入区间,并为每个定制映像添加以下标记。这些标记允许服务确定在创建桌面池时显示为选项的图像。
oci:desktops:is_desktop_image true
oci:desktops:image_version <version>, where <version> is a meaningful reference for your use.
oci:desktops:image_os_type [Oracle Linux | Windows]
任务 5:创建桌面池
创建定制映像后,我们将创建一个桌面池。
注:要执行此任务,您必须是桌面管理员。区间确定哪些用户组可以访问池。
-
打开 OCI 控制台,然后单击计算。在 Secure Desktops(安全桌面)下,单击 Desktop Pools(桌面池)。
-
在列表范围下,选择要在其中创建池的区间,然后单击创建桌面池。
-
输入桌面池的名称,您可以稍后编辑此值。
-
输入以下可选信息。
- 说明:输入桌面池的说明。
- 池开始时间:选择池可访问的 UTC 格式的日期和时间。您可以在以后编辑此值。
- 池停止时间:选择池停止并变得不可访问时的 UTC 格式的日期和时间。
- 添加管理员联系人详细信息。
- 选择 Enable administrator Privilege for users on their desktop ,以允许桌面用户对其虚拟桌面具有管理权限。
-
在 Pool Size(池大小)部分中,输入以下信息。
- Maximum size :池中包含的最大桌面数量。
- 备用大小:可用、未分配的桌面的数量。备用桌面会占用资源,因为它们正在运行,可供立即分配给桌面用户。稍后可以编辑这些值。
-
在位置下,选择要从中查找桌面资源的可用性域。
-
在 Image and Shape 下,选择要用于桌面的 OS 映像和配置。对于需要专用虚拟机主机的 Windows 桌面池,请使用以下首选配置之一。它们映射到 DVH 配置,以分配 OCPU 和内存。
- 弹性低(2 个 OCPU,4GB RAM)
- 弹性中型(4 个 OCPU,8GB RAM)
- 弹性高(8 个 OCPU,16GB RAM)
注:池停止时,池将关闭,但不会删除。
-
可选要通过创建与用户关联的块存储卷向桌面用户输入持久性存储,请选择启用桌面存储,然后选择卷大小 (GB)。
-
在网络部分中,输入以下信息。
- 虚拟云网络:为此池中的桌面选择虚拟云网络 (virtual cloud network,VCN)。
- 子网:选择 VCN 中要用于桌面的公共子网。
- 可选单击显示高级选项以选择使用网络安全组控制流量。
-
在 Device Access Policy 中,指定虚拟桌面和客户端设备如何交互。
- 剪贴板访问:指定虚拟桌面是否以及如何访问客户端设备上的剪贴板。
- 音频访问:指定虚拟桌面是否以及如何访问客户端设备上的扬声器和麦克风。仅在使用已安装的客户机时才支持此选项,并且仅 Windows 桌面上支持音频输入或麦克风值。
- 驱动器映射访问:指定虚拟桌面是否以及如何访问客户端设备上的驱动器。如果选择 "Read"(读取)或 "Write"(写入),用户可以在其本地系统和虚拟桌面之间移动内容。稍后可以编辑这些值。
注:规划网络要求时,请确保包括必要的入站和出站规则。例如,对于开放的互联网。创建池后,无法更改其 NSG 配置。
-
在常规调度下,输入循环时间以启动和停止池中的桌面。稍后可以编辑这些值。
-
单击创建。
将部署桌面池,一旦池状态为 ACTIVE (如下图中所示),用户应能够访问桌面。
任务 6:访问桌面池
-
将用户添加到我们在任务 3 中创建的
<desktop-users>
组。 -
使用相应的区域标识符编辑以下 URL。有关您所在区域的标识符值的更多信息,请参阅区域和可用性域。
https://published.desktops.<RegionIdentifier>.oci.oraclecloud.com/client
-
您可以与在
<desktop-users>
组中添加以访问桌面的最终用户共享编辑后的链接。
相关链接
确认
- Authors -Akarsha I K(云架构师)、Maninder Flora(云架构师)
更多学习资源
浏览 docs.oracle.com/learn 上的其他实验室,或者通过 Oracle Learning YouTube 频道访问更多免费学习内容。此外,请访问 education.oracle.com/learning-explorer 以成为 Oracle Learning Explorer。
有关产品文档,请访问 Oracle 帮助中心。
Deploy Oracle Cloud Infrastructure Secure Desktops
F94491-01
March 2024