設定 Oracle Secure Global Desktop
Oracle Secure Global Desktop (SGD) 是一個安全的遠端存取解決方案,適用於在 Microsoft Windows、Linux、Solaris 和大型主機伺服器上執行的雲端代管企業應用程式和桌面。
SGD 和 SSH 或 VPN 之間的差異在於,從屬端永遠不會進入網路,而且 SGD 的管理員會控制所有存取,包括複製和貼上、列印或裝置存取等從屬端功能。
您可以透過安全的 Web 瀏覽器連線與服務互動,並且可以啟動、暫停和繼續受控制環境中執行的應用程式。資料不會離開資料中心或雲端。遺失的從屬端裝置未包含任何機密資訊。SGD 提供單一存取點,並允許管理員隨時取消使用者的授權並終止有效階段作業。
架構
此架構顯示 Secure Global Desktop 閘道和伺服器在負載平衡器與應用程式伺服器之間自己的專用子網路中。透過負載平衡器,網際網路唯一公開的連接埠是 443 (HTTPS)。
當您啟動應用程式時,Secure Global Desktop (SGD) 會將原生遠端桌面通訊協定 (RDP) 或 X11 流量轉換成本身名為 Adaptive Internet Protocol (AIP) 的專屬通訊協定,並將視覺化呈現方式傳回從屬端。
下圖說明此參考架構。
architecture-secure-global-desktop.png 圖解描述
架構包含下列元件:
- 區域
Oracle Cloud Infrastructure 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關,而且大型距離可以區隔 (跨國家或甚至洲)。
- 可用性網域
可用性網域是區域內獨立的獨立資料中心。每個可用性網域中的實體資源都會與其他可用性網域中的資源隔離,以提供容錯。可用性網域不會共用基礎架構,例如電源、冷卻或內部可用性網域網路。因此,一個可用性網域的失敗並不會影響區域中的其他可用性網域。
- 容錯域
容錯域是一組可用性網域內的硬體和基礎架構。每個可用性網域都有三個具有獨立電源與硬體的容錯域。當您將運算執行處理置於多個容錯域時,應用程式可容許可用性網域內的實體伺服器故障、系統維護,以及許多常見的網路和電源故障。
- 虛擬雲端網路 (VCN) 與子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的軟體定義網路。VCN 可以區隔為子網路,這些子網路可以專屬於某個區域或可用性網域。區域特定子網域與可用性網域特定子網路可以共存於相同的 VCN 中。子網路可以是公用或專用。
- 安全清單
您可以為每個子網路建立安全規則,以指定子網路中必須允許的來源、目的地以及流量類型。
- 路由表
虛擬路由表包含將流量從子網路路由至 VCN 外部之目的地的規則,通常會透過閘道。
- 從屬端裝置
廣泛的常用從屬端裝置,例如 Windows PC、Macs、Linux PC 以及平板電腦 (例如 Apple iPad 和 Android-based 裝置)。此外,任何具有現代化 Web 瀏覽器的系統也可以使用 HTML5 用戶端。
- 負載平衡器
Oracle Cloud Infrastructure Load Balancing 服務提供從一個進入點到多個 SGD 閘道 (可在您的 VCN 中連線) 的自動化流量分佈。從負載平衡程式到 SGD 閘道的連線必須是 443 上的 TCP,而不是 HTTPS。
- 運算和應用程式伺服器
應用程式伺服器是 SGD 提供安全存取的實際目標資源。它們可以是提供對 SGD 伺服器進行 RDP、SSH 或 Telnet 存取的任何項目。只有 SGD 伺服器需要與應用程式伺服器通訊,應用程式伺服器可以是實體或虛擬端點。SGD 會啟動應用程式伺服器上的應用程式或桌面環境。
- SGD 伺服器
伺服器會處理認證和授權,以提供 HTML 工作區給一般使用者。伺服器也會將 RDP、SSH 或 Telnet 協定轉譯成 SGD 專屬的 Adaptive Internet Protocol (AIP),並透過 SGD 閘道傳送流量給從屬端。SGD 伺服器也會處理使用者有權執行的應用程式以及應用程式伺服器的授權。SGD 伺服器會將此授權儲存在內部組態資料庫中。
您可以在陣列中設定多個 SGD 伺服器、共用單一組態資料庫、增加容量以及提供冗餘。您可以動態新增或移除伺服器,而不需要中斷從屬端存取。
- SGD 閘道
閘道是一個專門的反向代理主機,會向外界公開服務。它也提供路由和負載平衡。閘道是無狀態的,沒有識別或應用程式組態的相關資訊。這是唯一需要與 SGD 伺服器通訊的元件。您可以為負載和冗餘設定多個閘道。
推薦
您的需求可能會與此處描述的架構不同。使用下列建議作為起點。
- VCN
建立 VCN 時,請判斷每個子網路中的雲端資源需要多少 IP 位址。使用「無類別網域間路由 (CIDR)」表示法,指定足以容納所需 IP 位址的子網路遮罩和網路位址範圍。請使用標準專用 IP 位址空間內的位址範圍。
選取未與內部部署網路重疊的位址範圍,以便您可以視需要設定 VCN 與內部部署網路之間的連線。
建立 VCN 之後,您便無法變更其位址範圍。
設計子網路時,請考量您的流量和安全需求。將特定層或角色內的所有資源連附至可作為安全界限的相同子網路。
- 安全清單
您可以使用安全清單來定義套用至每個子網路的傳入和傳出規則。確定允許下列連接埠的流量:
SGD 閘道與 SGD 伺服器之間流量的連接埠 443 與 5307。
SGD 伺服器與其他 SGD 伺服器之間流量的連接埠 443 與 5427。
SGD 伺服器與運算或應用程式伺服器之間流量的連接埠 22 與 3389。
- SGD 大小
一般而言,螢幕大小為 1920x1200 和 32 位元色彩深度的單一 Windows 或 X11 應用程式會在 SGD 伺服器上使用大約 1500 MB 的記憶體,在 SGD 閘道上則使用大約 80 MB 的記憶體。這些值將根據使用者數目和並行應用程式數目而增加。
考量
- 效能
SGD 伺服器應儘可能接近需要存取的應用程式伺服器,例如可用性網域或區域。
- 網路
每個閘道都必須能夠與每個 SGD 伺服器通訊,而且每個 SGD 伺服器都必須能夠與陣列中的其他 SGD 伺服器通訊。只有相同網域或區域中的 SGD 伺服器才能與相同網域或區域中的應用程式伺服器通訊。在此作業模式中,SGD 伺服器會被指派 SGD 中符合應用程式伺服器位置的位置。如果 SGD 基礎架構是部署在與目標應用程式伺服器相同的區間中,則視您要完成的項目而定,單一區域子網路應足夠。若要使用 SGD 來安全且輕鬆地控制分散在區間之間的資源存取,甚至需要設定多個子網路。在此階層,SGD 的行為是任何其他網路產品。SGD 基礎架構與 SGD 伺服器及目標應用程式伺服器之間必須開啟必要的連接埠。
- 安全性
資源不需要公用 IP 位址,只能透過 SGD 存取。
- 使用狀態
建議使用多個 SGD 閘道和 SGD 伺服器來提高可用性。
- 成本
SGD 有具名使用者加上授權。無論 SGD 有多少次或在何處部署 SGD,每個一般使用者都需要授權。相同的授權使用者有權存取安裝在 Oracle Cloud Infrastructure 和內部部署中的 SGD。
建置
從 SGD 開始最簡單的方法是使用 Oracle Cloud Marketplace 影像。
Oracle Cloud Marketplace 映像檔的 SGD 閘道和 SGD 伺服器設定在與共用位置設定相同的運算執行處理上。在同一個執行處理上使用閘道和伺服器元件時,您無法形成 SGD 陣列。不過,您可以重新設定市集影像以保持閘道或伺服器元件的安裝,然後繼續設定陣列。
- 前往 Oracle Cloud Marketplace。
- 按一下取得應用程式。
- 依照畫面上的提示進行。