注意:

部署 Oracle Cloud Infrastructure Secure Desktops

简介

借助 Oracle Cloud Infrastructure (OCI) 安全桌面服务,管理员可以创建一组完全相同的虚拟桌面,单个用户可以安全地访问这些虚拟桌面。管理员可以使用现有计算配置和定制映像在其租户中创建桌面池。

虚拟桌面和 OCI 配置由管理员管理,允许非技术用户轻松安全地访问虚拟桌面并将其用于日常工作。

目标

先决条件

任务 1:创建动态组

  1. 创建动态组。有关更多信息,请参见 Managing Dynamic Groups

  2. 为动态组选择 Match any rules defined below

  3. 为包含桌面池的每个区间添加此表单的匹配规则。

    All {resource.type = 'desktoppool', resource.compartment.id = '<OCID-Of-Compartment>'}
    

任务 2:为动态组创建策略

在根区间中,为在任务 1 中创建的动态组添加以下策略。这样,动态组中的桌面池就可以访问所需的租户级别资源并与之交互。

Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT} in tenancy
Allow dynamic-group <dynamic-group> to inspect users in tenancy
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <compartment-name>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <compartment-name>

<dynamic-group> 是指定一组桌面池的动态组的名称。

任务 3:为用户授权创建策略

注:对于租户管理员,不需要单独的策略。

设置相应的用户访问权限,以便桌面管理员可以管理池,桌面用户可以连接到桌面。需要两种类型的组。

任务 4:导入定制映像

要使用 OCI 安全桌面,必须导入定制映像。有关详细信息,请参阅导入图像

注:要获取支持的映像列表,请参阅支持的映像

将映像导入区间,并为每个定制映像添加以下标记。这些标记允许服务确定在创建桌面池时显示为选项的图像。

oci:desktops:is_desktop_image true
oci:desktops:image_version <version>, where <version> is a meaningful reference for your use.
oci:desktops:image_os_type [Oracle Linux | Windows]

导入自定义图像

任务 5:创建桌面池

创建定制映像后,我们将创建一个桌面池。

:要执行此任务,您必须是桌面管理员。区间确定哪些用户组可以访问池。

  1. 打开 OCI 控制台,然后单击计算。在 Secure Desktops(安全桌面)下,单击 Desktop Pools(桌面池)

  2. 列表范围下,选择要在其中创建池的区间,然后单击创建桌面池

  3. 输入桌面池的名称,您可以稍后编辑此值。

  4. 输入以下可选信息。

    • 说明:输入桌面池的说明。
    • 池开始时间:选择池可访问的 UTC 格式的日期和时间。您可以在以后编辑此值。
    • 池停止时间:选择池停止并变得不可访问时的 UTC 格式的日期和时间。
    • 添加管理员联系人详细信息。
    • 选择 Enable administrator Privilege for users on their desktop ,以允许桌面用户对其虚拟桌面具有管理权限。
  5. Pool Size(池大小)部分中,输入以下信息。

    • Maximum size :池中包含的最大桌面数量。
    • 备用大小:可用、未分配的桌面的数量。备用桌面会占用资源,因为它们正在运行,可供立即分配给桌面用户。稍后可以编辑这些值。
  6. 位置下,选择要从中查找桌面资源的可用性域。

  7. Image and Shape 下,选择要用于桌面的 OS 映像和配置。对于需要专用虚拟机主机的 Windows 桌面池,请使用以下首选配置之一。它们映射到 DVH 配置,以分配 OCPU 和内存。

    • 弹性低(2 个 OCPU,4GB RAM)
    • 弹性中型(4 个 OCPU,8GB RAM)
    • 弹性高(8 个 OCPU,16GB RAM)

    :池停止时,池将关闭,但不会删除。

  8. 可选要通过创建与用户关联的块存储卷向桌面用户输入持久性存储,请选择启用桌面存储,然后选择卷大小 (GB)。

  9. 网络部分中,输入以下信息。

    • 虚拟云网络:为此池中的桌面选择虚拟云网络 (virtual cloud network,VCN)。
    • 子网:选择 VCN 中要用于桌面的公共子网。
    • 可选单击显示高级选项以选择使用网络安全组控制流量。
  10. Device Access Policy 中,指定虚拟桌面和客户端设备如何交互。

    • 剪贴板访问:指定虚拟桌面是否以及如何访问客户端设备上的剪贴板。
    • 音频访问:指定虚拟桌面是否以及如何访问客户端设备上的扬声器和麦克风。仅在使用已安装的客户机时才支持此选项,并且仅 Windows 桌面上支持音频输入或麦克风值。
    • 驱动器映射访问:指定虚拟桌面是否以及如何访问客户端设备上的驱动器。如果选择 "Read"(读取)或 "Write"(写入),用户可以在其本地系统和虚拟桌面之间移动内容。稍后可以编辑这些值。

    :规划网络要求时,请确保包括必要的入站和出站规则。例如,对于开放的互联网。创建池后,无法更改其 NSG 配置。

  11. 常规调度下,输入循环时间以启动和停止池中的桌面。稍后可以编辑这些值。

  12. 单击创建

将部署桌面池,一旦池状态为 ACTIVE (如下图中所示),用户应能够访问桌面。

安全桌面

任务 6:访问桌面池

  1. 将用户添加到我们在任务 3 中创建的 <desktop-users> 组。

  2. 使用相应的区域标识符编辑以下 URL。有关您所在区域的标识符值的更多信息,请参阅区域和可用性域

    https://published.desktops.<RegionIdentifier>.oci.oraclecloud.com/client

  3. 您可以与在 <desktop-users> 组中添加以访问桌面的最终用户共享编辑后的链接。

确认

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室,或者通过 Oracle Learning YouTube 频道访问更多免费学习内容。此外,请访问 education.oracle.com/learning-explorer 以成为 Oracle Learning Explorer。

有关产品文档,请访问 Oracle 帮助中心