Oracle Cloud Infrastructureドキュメント

プライベートデスクトップアクセスの有効化

セキュア・デスクトップには、プライベート・ネットワークを介したデスクトップ・アクセスを有効にするオプションがあります。

管理者は、プライベート・エンドポイントを使用して、仮想クラウド・ネットワーク(VCN)またはオンプレミス・ネットワークからOracle Cloud Infrastructure内のプライベート・デスクトップ・アクセスを有効にできます。プライベート・エンドポイントとは、Oracle Cloud Infrastructure内の特定のサービスへのアクセスに使用できるVCN内のプライベートIPアドレスのことです。プライベート・エンドポイントは、VCNのサブネット内のプライベートIPアドレスとして表されます。

デスクトップ・プールを作成すると、デスクトップ管理者はVCNで構成されたプライベート・エンドポイントを使用してデスクトップ・アクセスを有効にできます。

ノート

この機能を有効にできるのは、新しいデスクトップ・プールを作成する場合のみです。

前提条件

プライベート・エンドポイントを含むデスクトップ・プールを作成する前に、次のステップを実行します:

  1. 作業するリソースに必要なポリシーを設定します。コンパートメントによっては、追加のポリシーが必要になる場合があります。

    <private-access-network-compartment>は、プライベート・アクセスに使用されるVCNおよびサブネットを含むコンパートメントです。

    • このコンパートメントが<desktops-network-compartment>と同じ場合、新しいポリシーは不要です。
    • このコンパートメントが<desktops-network-compartment>と異なる場合は、次のサービス・レベル・ポリシーを追加する必要があります:
      Allow dynamic-group <dynamic-group> to use virtual-network-family in in compartment <private-access-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <private-access-network-compartment>
  2. デスクトップ・プールにアクセスするリージョン内にVCNを作成します。詳細は、VCNおよびサブネットを参照してください。VCNは、デスクトップ・プールを作成するリージョン内に存在する必要があります。
  3. デフォルトのDHCPオプションを使用して構成されたVCN内のサブネットを構成します。詳細は、仮想クラウド・ネットワークのDNSを参照してください。
    ノート

    • プライベート・アクセス・サブネットおよびデスクトップ・プール・サブネットは、同じVCNまたは異なるVCNにプロビジョニングできます。
    • プライベート・アクセスとデスクトップ・プール・アクセスは、同じサブネットにプロビジョニングできます。
    • オンプレミス・ネットワークからのデスクトップ・アクセスには、ホスト名解決に必要な場合、追加のサブネットのためにVCN内の使用可能なアドレス空間が必要です。
  4. (オプション) VCN内のネットワーク・セキュリティ・グループ(NSG)を指定します。NSGは、サービスへの接続のルールを指定します。詳細は、ネットワーク・セキュリティ・グループを参照してください。

DNS設定

プライベート・エンドポイント・デスクトップ・プールのアクセスは、次の形式のDNSゾーンのIPアドレスを介して行われます:

private.devices.desktops.<region-id>.oci.oraclecloud.com

オンプレミス・クライアントには、前述のゾーンのDNSエントリを解決する機能が必要です。これを行うには、DNSリゾルバ・タイプがInternet and VCN Resolverに設定されているサブネットでDNSリスナーを構成する必要があります。

VCN DNSリスナー設定

  1. サブネットを編集して、次のDHCPオプションを設定します。
    • 「DNSタイプ」で、「Internet and VCN Resolver」を選択します。
    • DNSサーバー: 不要

    詳細は、既存のDHCPオプション・セットのオプションを更新するにはを参照してください。

  2. VCN DNSリゾルバ・エンドポイントを作成します。

    このリゾルバ・エンドポイントは、別のプライベートDNSシステム(ピアリングされたVCNやオンプレミス・ネットワークなど)へのDNS問合せの転送およびリスニングに使用できます。

    • エンドポイントの名前を選択します。
    • 「リスニング」エンドポイント・タイプを選択します。
    • プルダウン・リストからエンドポイントのサブネットを選択します。DHCP「Internet and VCN Resolver」のサブネットを選択します

    詳細は、リゾルバ・エンドポイントの作成に関する項を参照してください。

  3. VCNのセキュリティ・リストを作成して、次のイングレス・ルールを設定し、DNSを許可します:
    • ステートレス=No
    • ソース=0.0.0.0/0
    • IPプロトコル=TCP
    • ソース・ポート範囲= すべて
    • 宛先ポート範囲=53
    • 次のポートのTCPトラフィックを許可します: 53 Domain Name System (DNS)

    詳細は、セキュリティ・リストの作成を参照してください。

オンプレミスDNS設定

DNSリスナーの構成後、オンプレミス・クライアントで使用されるDNSサーバーは、前述で作成したDNSリスナーIPアドレスを使用するように構成する必要があります。

VCN内に構成されたDNSリスナーへの条件付きDNS転送を含むオンプレミス・イントラネットDNSサーバーを構成し、ゾーン名を指定します:

private.devices.desktops.<region-id>.oci.oraclecloud.com

プライベート・エンドポイントを使用したデスクトップ・プールの作成

プライベート・エンドポイントを使用してデスクトップ・プールを作成するには、デスクトップ管理者は、セキュア・デスクトップ・コンソールまたはAPIを使用してデスクトップ・プールの作成時に次のプライベート・アクセス詳細を提供します。

  • 仮想クラウド・ネットワーク(VCN)
  • プライベート・アクセス用のサブネット。
  • (オプション)プライベート・エンドポイントに割り当てるIPアドレス。定義しない場合、IPアドレスが自動的に割り当てられます。セキュア・デスクトップは、IPアドレスの完全修飾ドメイン名を定義します。
  • (オプション)ネットワーク・トラフィックをさらに制御するための1つ以上のネットワーク・セキュリティ・グループ(NSG)。

詳細は、デスクトップ・プールの作成を参照してください。

ノート

テナンシ内の複数のプールにプライベート・アクセスを提供するために、複数のプライベート・エンドポイントがサポートされています。各プライベート・プール・エンドポイントのDNS名は一意で、次の形式になります:

<pool-specific-id>.private.devices.desktops.<region-id>.oci.oraclecloud.com

FastConnect

プライベート・デスクトップ・アクセスは、Oracle Cloud Infrastructure FastConnectプライベート・ピアリングを使用して行われます。FastConnectは、オンプレミスのデータ・センターとOracle Cloud Infrastructureとの間に、1Gから400Gへのポート速度で、データ移動のバイト単位の料金なしで、専用のプライベート接続を簡単に作成する方法を提供します。FastConnectは、インターネットベースの接続に比べて、高帯域幅のオプションを備えており、信頼性と一貫性が高いネットワーキングを実現できます。

テナンシ要件、ネットワーキング・シナリオおよび構成など、FastConnectプライベート・ピアリングの詳細は、FastConnectを参照してください。

動的ルーティング・ゲートウェイ

FastConnectプライベート・ピアリング(プライベート仮想回線を使用)には、Dynamic Routing Gateway (DRG)が必要です。

DRGは、VCNにアタッチされた仮想エッジ・ルーターです。DRGは、FastConnectを超えている場合でも、サイト間VPNリンクを超えている場合でも、VCNに受信するプライベート・トラフィック用の単一のエントリ・ポイントです。DRGを作成したら、それをVCNにアタッチし、VCNのルート表にDRGのルートを追加してトラフィック・フローを有効にする必要があります。

DRGには、VIRTUAL_CIRCUITネットワーク・アタッチメント・タイプが含まれます。1つ以上のFastConnect仮想回線をDRGにアタッチして、オンプレミス・ネットワークに接続できます。

Oracle Cloud Infrastructure Consoleを使用してDRGを設定し、それをVCNにアタッチして、DRGにトラフィックを送信するためのルート・ルールを含めるようにVCNのルーティングを更新します。ルート表の更新は忘れがちです。ルート・ルールがない場合、トラフィックは流れません。

詳細は、次のサイトを参照してください。

DRGを設定したら、FastConnectにプライベート仮想回線を作成し、FastConnectトラフィックのルーティング先のDRGを選択します。詳細は、FastConnectの開始を参照してください。