Oracle Cloud Infrastructureドキュメント

テナンシの設定

セキュア・デスクトップのテナンシを設定するには、テナンシ管理者がコンパートメントを設定し、ユーザーとグループのポリシーを作成し、デスクトップ管理者が使用する使用可能なイメージ、ストレージおよびネットワークを構成する必要があります。

ノート

Oracleでは、セキュア・デスクトップ・リソース・マネージャ(ORM)スタックを使用して、テナンシの設定プロセスを簡素化することをお薦めします。ORMスタックは、ベスト・プラクティスに従ってテナンシが設定されていることを確認するために、いくつかのプロセス・タスクを支援します。

  • セキュア・デスクトップ・サービスのポリシー、動的グループおよびユーザー・アクセスの作成。
  • 既存のネットワーク・リソースを作成またはオンボーディングします。
  • セキュア・デスクトップ・プールで使用するカスタム・イメージのインポート。

必要なORMスタック設定ファイルをOracle Cloud Marketplaceからダウンロードします。

ORMスタックを使用する手順は、OCIセキュア・デスクトップ: ORMスタックを使用したテナンシの構成方法(KB48885)を参照してください。

区分の設定

セキュア・デスクトップでデスクトップ・プールへのアクセスを制御するために必要なコンパートメントを設定します。

  1. デスクトップ管理者と協力して、必要なコンパートメントを理解します。

    コンパートメントを使用して、デスクトップへのアクセスを制御します。たとえば、デスクトップ・プールごとに1つのコンパートメントが必要になり、複数のデスクトップ・プールが存在する可能性があります。Understanding Desktop User Access to a Desktop PoolおよびDesktop Poolsを参照してください。コンパートメントを使用して他のリソースを分離しておく必要がある場合もあります。

  2. テナントを設定するためのベスト・プラクティスについて学習の説明に従って、コンパートメントを作成します。

サービスのポリシーの作成

動的グループを定義し、セキュア・デスクトップ・サービスをテナンシ内で実行できるようにするポリシーを追加します。

  1. 管理するコンパートメントにデスクトップ・プールの動的グループを追加します。動的グループの作成手順は、「動的グループの管理」を参照してください。コンパートメントを使用して動的グループを定義するには、次のステップに従います。
    1. 動的グループに、ポリシー・ステートメントで使用する名前を付けます(DesktopPoolsDynamicGroupなど)。
    2. 動的グループの「次で定義されたすべてのルールに一致」オプションを選択します。
    3. 次の一致ルールを追加して、デスクトッププールリソースを識別します。 
      resource.type = 'desktoppool'
    4. オプションで、デスクトップ・プールを含むコンパートメントを識別するための追加の照合ルールを追加します: 
      Any {resource.compartment.id = '<ocid>', resource.compartment.id = '<ocid>'}

      <ocid>は、各コンパートメントのリソースIDです。たとえば:

      Any {resource.compartment.id = '<OCID-OracleLinux8Standard>', resource.compartment.id = '<OCID-OracleLinux8Extra>'}
  2. ルート・コンパートメントで、追加した動的グループごとに次のポリシーを追加します。これにより、動的グループ内のデスクトップ・プールは、必要なテナンシ・レベルのリソースにアクセスできます。

    ポリシーの概要は、ポリシーの開始を参照してください。

    ポリシーを作成するには、コンソールを使用したポリシーの作成を参照してください。

    次の例では、動的グループがデフォルトのアイデンティティ・ドメインに属しているかのように評価されます。デフォルト以外のアイデンティティ・ドメインを使用している場合は、ポリシー・ステートメントで、動的グループの前にアイデンティティ・ドメイン名を含める必要があります。構文の例などの詳細は、ポリシー構文を参照してください。

    Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

    <dynamic-group>は、デスクトップ・プールのセットを指定する動的グループの名前です。

  3. ルート・コンパートメント、または管理するデスクトップ・プール・コンパートメントの上にあるコンパートメントで、次のポリシーを追加して、各動的グループのデスクトップ・プールが必要なリソースと対話できるようにします。

    ポリシーを作成するには、コンソールを使用したポリシーの作成を参照してください。

    Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
    説明:
    • <dynamic-group>は、デスクトップ・プールのセットを指定する動的グループの名前です。
    • <desktops-network-compartment>は、デスクトップ・プールで使用されるVCNを含むコンパートメントの名前です。このコンパートメントがデスクトップ・プール・コンパートメントの上のコンパートメントの子でない場合は、ルート・コンパートメントでポリシーを指定する必要があります。
    • <image-compartment>は、デスクトップ・プールで使用されるデスクトップ・イメージ・インスタンスを含むコンパートメントの名前です。このコンパートメントがデスクトップ・プール・コンパートメントの上のコンパートメントの子でない場合は、ルート・コンパートメントでポリシーを指定する必要があります。
    • <desktop-compartment>は、次のいずれかの名前です。
      • デスクトップ・プールおよび関連するストレージ・ボリュームおよびリソースを含むコンパートメント。
      • デスクトップ・プールを含むコンパートメントの親。
    ノート

    プライベート・デスクトップ・プールの作成を計画している場合は、追加のポリシーが必要になる場合があります。詳細は、プライベート・デスクトップ・アクセスの有効化を参照してください。

    この例では、2つの独立したコンパートメント(OracleLinux8StandardおよびOracleLinux8Extra)の2つのデスクトップに必要なポリシーを示します。共通親のすべてのコンパートメントで同じポリシーが使用されている場合は、親コンパートメントを使用してこれらを1回リストすることで、重複の必要性を回避できます。

    Allow dynamic-group DesktopPoolDynamicGroup to {DOMAIN_INSPECT} in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect users in tenancy 
Allow dynamic-group DesktopPoolDynamicGroup to inspect compartments in tenancy
Allow dynamic-group DesktopPoolDynamicGroup to use tag-namespaces in tenancy

Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment VirtualCloudNetworks
Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment Images

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Standard 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Standard
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Standard

Allow dynamic-group DesktopPoolDynamicGroup to read instance-images in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-family in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage volume-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage dedicated-vm-hosts in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage orm-family in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to {VNIC_CREATE, VNIC_DELETE} in compartment OracleLinux8Extra 
Allow dynamic-group DesktopPoolDynamicGroup to manage instance-configurations in compartment OracleLinux8Extra
Allow dynamic-group DesktopPoolDynamicGroup to manage virtual-network-family in compartment OracleLinux8Extra

ユーザー認可のポリシーの作成

適切なユーザーアクセスを設定して、デスクトップ管理者がプールを管理し、デスクトップユーザーがデスクトップに接続できるようにします。

2つのタイプのグループが必要です。

  • サービスを使用してデスクトップを提供するデスクトップ管理者の管理者グループ。
  • デスクトップに接続するデスクトップユーザーのユーザーグループ。
これらのグループは、コンパートメント、イメージなどを作成する権限の付与に使用されるテナンシ管理者グループに追加されます。カスタム・イメージの管理などを参照してください。

管理者グループのメンバーシップでは、プール内のデスクトップに接続する権限は付与されず、プールを作成および管理するだけです。デスクトップ・ユーザーは、アクセスが認可されているコンパートメント内の各プールから1つのデスクトップに接続できます。特定のタイプのデスクトップへのアクセスを制限するなど、ユーザーグループを分離するには、デスクトップが別のコンパートメントにある必要があり(Understanding Desktop User Access to a Desktop Poolを参照)、グループには必要に応じてそれらのコンパートメントへのアクセス権が必要です。グループの作成の詳細は、グループの操作を参照してください。

ポリシーの概要は、ポリシーの開始を参照してください。

ポリシーを作成するには、コンソールを使用したポリシーの作成を参照してください。

  1. デスクトップ管理者のポリシーを追加します。

    • デスクトッププールファミリのポリシー:
      Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>

      たとえば、次のとおりです。

      Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Standard
Allow group Desktop_Admins to manage desktop-pool-family in compartment OracleLinux8Extra
    • 読取りリソースのポリシー:
      Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>

      次に例を示します。

      Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Standard
Allow group Desktop_Admins to read all-resources in compartment OracleLinux8Extra
    • 仮想ネットワーク・ファミリのポリシー:
      Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>

      次に例を示します。

      Allow group Desktop_Admins to use virtual-network-family in compartment VirtualCloudNetworks
    • インスタンス・イメージのポリシー:
      Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

      次に例を示します。

      Allow group Desktop_Admins to use instance-images in compartment Images

  2. デスクトップ・ユーザーのポリシーを追加します。

    • コンパートメント内のすべてのデスクトップ・プールのポリシー:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

      次に例を示します。

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
Allow group IT_Users to use published-desktops in compartment OracleLinux8Extra
    • コンパートメント内の特定のデスクトップ・プールのポリシー:
      Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

      オプションで、where文を次のコンテキスト変数とともに使用して、名前またはOCIDで1つ以上のデスクトップ・プールを指定します。

      • target.desktoppool.name
      • target.desktoppool.id

      次に例を示します。

      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.name = '<pool-name>'
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where any {target.desktoppool.name = '<pool-name_1>', target.desktoppool.name = '<pool-name_2>'...}
      Allow group Dev_Users to use published-desktops in compartment OracleLinux8Standard
where target.desktoppool.id = '<pool-ocid>'

ネットワークの構成

セキュア・デスクトップに接続するようにVirtual Cloud Network (VCN)を設定します。

各デスクトッププールは、セキュアデスクトップサービスをデスクトップインスタンスに接続するための適切なサブネットへのアクセスを必要とします。このサブネットは、プライベートまたはパブリックにできます。デスクトップ・プールのサブネットを作成する際は、サブネットで使用可能なIPアドレスの数が、プロビジョニングするデスクトップの数と一致していることを確認してください。たとえば、クラスCのサブネットでは、254個のIPv4アドレスのみを指定できます。

ネットワーク・セキュリティ・グループ

デスクトップ・プールの作成時に、セキュア・デスクトップは、サービスのネットワーク接続を提供するセキュリティ・ルールを含むネットワーク・セキュリティ・グループ(NSG)を作成します。このNSG desktop_pool_instances_<ocid>_nsgは、デスクトップに関連付けられているコンピュート・インスタンスからのみ表示されます。

追加のNSGを使用する場合は、NSGを作成して、デスクトップ・プールの作成時に適用する必要があります。デスクトップ・プールのパラメータを参照してください。

詳細は、ネットワーク・セキュリティ・グループを参照してください。

サービス・ゲートウェイ

Oracle Cloud Agentプラグイン(WindowsおよびLinuxデスクトップで必要)を使用するには、VCNのサービス・ゲートウェイを設定する必要があります。ステップには、サービス・ゲートウェイの作成、ルーティング・ルールの追加によるサブネットのルーティングの更新、および目的のトラフィックを許可するエグレス・セキュリティ・ルールの追加が含まれます。Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

Oracle Cloud Agentプラグインの詳細は、Oracle Cloud Agentを参照してください。

ノート

プライベート・デスクトップ・アクセスを有効にする場合は、追加のネットワーク要件についてプライベート・デスクトップ・アクセスの有効化を参照してください。

イメージのインポート中

イメージをインポートし、それらを適切にタグ付けして、セキュア・デスクトップがデスクトップ・プールに使用するイメージとして認識するようにします。

コンパートメントにイメージをインポートし、イメージ・タグを追加します:

  • 必須:

    oci: デスクトップ:is_desktop_image true

    このタグを使用すると、デスクトップ・プールを作成するときにオプションとして表示するイメージをサービスが決定できます。

  • オプション:
    • oci:desktops:image_os_type [Oracle Linux | Windows]
    • oci: デスクトップ:image_version <version>

      <version>は、使用する意味のある参照です。

詳細は、Secure Desktops Tagsを参照してください。

別のリージョンへのイメージのエクスポート

イメージは、テナンシの単一リージョン内にのみ存在します。テナンシの別のリージョンでイメージを使用可能にする場合は、イメージをエクスポートしてから、別のリージョンにインポートする必要があります。

  1. イメージを格納するオブジェクト・ストレージ・バケットを作成します
  2. .ociイメージ形式を使用して、ストレージ・バケットにイメージをエクスポートします。
  3. エクスポートが完了したら、バケットに切り替えて、イメージの事前認証済リクエストを作成します。指定されたURLをコピーします。
  4. 受信側のテナンシおよびリージョンに切り替えます。タイプOCIを使用して、オブジェクト・ストレージURLからイメージをインポートします
  5. イメージをデスクトップ・イメージとして使用する前に、イメージに適切なタグを追加します。
  6. イメージをすべての必須リージョンにインポートした後、ストレージ・バケットからイメージ・オブジェクトを削除できます。

専用仮想マシン・ホストの割当て

デスクトッププールイメージが Windowsデスクトップ用である場合、プール内のデスクトップはデフォルトで専用仮想マシンホスト(DVH)でホストされます。Windowsデスクトップを実行するために、テナンシに十分なDVHリソースを割り当ててください。

詳細は、専用仮想マシン・ホストを参照してください。

ノート

  • ライセンス契約でクラウド環境での Windows 10/11デスクトップの仮想化が許可されている場合は、デスクトッププールの作成時に適切なタグを追加することで、DVHプロビジョニングを無効にできます。Secure Desktops Tagsを参照してください。
  • セキュア・デスクトップでは、Linuxデスクトップ・プールにDVHは割り当てられません。

専用仮想マシンですべてのWindowsデスクトップを専用仮想マシンにプロビジョニングできるようにするには、専用仮想マシン・ホストのテナンシ制限を設定する必要があります。ホストを起動する必要はありません。セキュア・デスクトップは必要に応じてこれを実行します。

デスクトップ・プールに適切なシェイプを使用

専用仮想マシン・ホストを必要とするデスクトップ・プールであるWindowsデスクトップ・プールの場合は、OCPUおよびメモリーの割当てのためにDVHシェイプに事前にマップされているため、次のいずれかの推奨シェイプを使用します:

  • フレックス低(2 OCPU、4GB RAM)
  • フレックス中(4 OCPU、8GB RAM)
  • フレックス高(8 OCPU、16GB RAM)
ノート

  • デスクトップ・プールの作成時に、セキュア・デスクトップは、デスクトップ・プールに割り当てる専用仮想マシン・ホストの数を計算します。
  • デスクトップ・プールを削除すると、そのデスクトップ・プールに割り当てられたすべての専用仮想マシン・ホストも削除されます。

または、管理者は、プール・イメージでサポートされている一連のVMシェイプから特定のVMシェイプを選択できます。この場合、セキュア・デスクトップは、対応するDVHシェイプをVMシェイプをホストに割り当てます。

次の表に、サポートされているVMシェイプとそれに対応するDVHシェイプを示します。

VMシェイプ DVHシェイプ
VM.Standard2.2 DVH.Standard2.52: フレックス低
VM.Standard2.4 DVH.Standard2.52: フレックス・メディア
VM.Standard2.8 DVH.Standard2.52: フレックスハイ
VM.Standard3.Flex DVH.Standard3.64
VM.Standard.E3.Flex DVH.Standard.E3.128
VM.Standard.E4.Flex DVH.Standard.E4.128
VM.DenselIO2.8 DVH.DenseIO2.52: 低フレックス
VM.DenselIO2.16 DVH.DenseIO2.52: フレックス中
VM.DenselIO2.24 DVH.DenseIO2.52: フレックスハイ
VM.Optimized3.Flex DVH.Optimized3.36
VM.Standard.E2.2 DVH.Standard.E2.64: フレックス低
VM.Standard.E2.4 DVH.Standard.E2.64: フレックス・メディア
VM.Standard.E2.8 DVH.Standard.E2.64: フレックスハイ
ノート

サポートされていないVMシェイプが指定されている場合、プールの作成は失敗し、エラーが返されます。

デスクトップに特定のDVHシェイプを指定する場合は、デスクトップ・プールの作成時に適切なタグを追加できます。Secure Desktops Tagsを参照してください。