注意：

此教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure Free Tier 。
它使用 Oracle Cloud Infrastructure 身份证明、租户和区间示例值。完成实验室时，请将这些值替换为特定于您的云环境的值。

部署 Oracle Cloud Infrastructure Secure Desktops

简介

借助 Oracle Cloud Infrastructure (OCI) 安全桌面服务，管理员可以创建一组完全相同的虚拟桌面，单个用户可以安全地访问这些虚拟桌面。管理员可以使用现有计算配置和定制映像在其租户中创建桌面池。

虚拟桌面和 OCI 配置由管理员管理，允许非技术用户轻松安全地访问虚拟桌面并将其用于日常工作。

目标

部署 OCI 安全桌面并安全地访问 OCI 环境。

先决条件

访问 OCI 租户和区间。

任务 1：创建动态组

创建动态组。有关更多信息，请参见 Managing Dynamic Groups 。
为动态组选择 Match any rules defined below 。

为包含桌面池的每个区间添加此表单的匹配规则。

All {resource.type = 'desktoppool', resource.compartment.id = '<OCID-Of-Compartment>'}

任务 2：为动态组创建策略

在根区间中，为在任务 1 中创建的动态组添加以下策略。这样，动态组中的桌面池就可以访问所需的租户级别资源并与之交互。

Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT} in tenancy
Allow dynamic-group <dynamic-group> to inspect users in tenancy
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <compartment-name>

<dynamic-group> 是指定一组桌面池的动态组的名称。

任务 3：为用户授权创建策略

注：对于租户管理员，不需要单独的策略。

设置相应的用户访问权限，以便桌面管理员可以管理池，桌面用户可以连接到桌面。需要两种类型的组。

Administrator Groups（管理员组）：用于使用该服务提供桌面的桌面管理员的管理员组。

创建具有适当名称的桌面管理员组，并将以下策略分配给该组。

Allow group <desktop-administrators> to manage desktop-pool-family in compartment <compartment-name>
Allow group <desktop-administrators> to read all-resources in compartment <compartment-name>
Allow group <desktop-administrators> to use virtual-network-family in compartment <compartment-name>
Allow group <desktop-administrators> to use instance-images in compartment <compartment-name>

注：<desktop-administrators> 是组名。

用户组：连接到桌面的桌面用户的用户组。

创建具有适当名称的桌面用户组并将以下策略分配给该组。
```
Allow group <desktop-users> to use published-desktops in compartment <compartment-name>
```

任务 4：导入定制映像

要使用 OCI 安全桌面，必须导入定制映像。有关详细信息，请参阅导入图像。

注：要获取支持的映像列表，请参阅支持的映像。

将映像导入区间，并为每个定制映像添加以下标记。这些标记允许服务确定在创建桌面池时显示为选项的图像。

oci:desktops:is_desktop_image true
oci:desktops:image_version <version>, where <version> is a meaningful reference for your use.
oci:desktops:image_os_type [Oracle Linux | Windows]

导入自定义图像

任务 5：创建桌面池

创建定制映像后，我们将创建一个桌面池。

注：要执行此任务，您必须是桌面管理员。区间确定哪些用户组可以访问池。

打开 OCI 控制台，然后单击计算。在 Secure Desktops（安全桌面）下，单击 Desktop Pools（桌面池）。
在列表范围下，选择要在其中创建池的区间，然后单击创建桌面池。
输入桌面池的名称，您可以稍后编辑此值。
输入以下可选信息。
- 说明：输入桌面池的说明。
- 池开始时间：选择池可访问的 UTC 格式的日期和时间。您可以在以后编辑此值。
- 池停止时间：选择池停止并变得不可访问时的 UTC 格式的日期和时间。
- 添加管理员联系人详细信息。
- 选择 Enable administrator Privilege for users on their desktop ，以允许桌面用户对其虚拟桌面具有管理权限。
在 Pool Size（池大小）部分中，输入以下信息。
- Maximum size ：池中包含的最大桌面数量。
- 备用大小：可用、未分配的桌面的数量。备用桌面会占用资源，因为它们正在运行，可供立即分配给桌面用户。稍后可以编辑这些值。
在位置下，选择要从中查找桌面资源的可用性域。
在 Image and Shape 下，选择要用于桌面的 OS 映像和配置。对于需要专用虚拟机主机的 Windows 桌面池，请使用以下首选配置之一。它们映射到 DVH 配置，以分配 OCPU 和内存。
- 弹性低（2 个 OCPU，4GB RAM）
- 弹性中型（4 个 OCPU，8GB RAM）
- 弹性高（8 个 OCPU，16GB RAM）
注：池停止时，池将关闭，但不会删除。
可选要通过创建与用户关联的块存储卷向桌面用户输入持久性存储，请选择启用桌面存储，然后选择卷大小 (GB)。
在网络部分中，输入以下信息。
- 虚拟云网络：为此池中的桌面选择虚拟云网络 (virtual cloud network，VCN)。
- 子网：选择 VCN 中要用于桌面的公共子网。
- 可选单击显示高级选项以选择使用网络安全组控制流量。
在 Device Access Policy 中，指定虚拟桌面和客户端设备如何交互。
- 剪贴板访问：指定虚拟桌面是否以及如何访问客户端设备上的剪贴板。
- 音频访问：指定虚拟桌面是否以及如何访问客户端设备上的扬声器和麦克风。仅在使用已安装的客户机时才支持此选项，并且仅 Windows 桌面上支持音频输入或麦克风值。
- 驱动器映射访问：指定虚拟桌面是否以及如何访问客户端设备上的驱动器。如果选择 "Read"（读取）或 "Write"（写入），用户可以在其本地系统和虚拟桌面之间移动内容。稍后可以编辑这些值。
注：规划网络要求时，请确保包括必要的入站和出站规则。例如，对于开放的互联网。创建池后，无法更改其 NSG 配置。
在常规调度下，输入循环时间以启动和停止池中的桌面。稍后可以编辑这些值。
单击创建。

将部署桌面池，一旦池状态为 ACTIVE （如下图中所示），用户应能够访问桌面。

安全桌面

任务 6：访问桌面池

将用户添加到我们在任务 3 中创建的 <desktop-users> 组。
使用相应的区域标识符编辑以下 URL。有关您所在区域的标识符值的更多信息，请参阅区域和可用性域。

https://published.desktops.<RegionIdentifier>.oci.oraclecloud.com/client
您可以与在 <desktop-users> 组中添加以访问桌面的最终用户共享编辑后的链接。

安全桌面概览

确认

Authors -Akarsha I K（云架构师）、Maninder Flora（云架构师）