リリースが待ち望まれていたOCIの新しいサービス「セキュア・デスクトップ」(OCI Secure Desktops)がリリースされました!
OCI上で仮想デスクトップ環境を迅速にデプロイできて、クライアント側のローカルにデータを持たせずセキュリティを向上させることができます。
ということで、さっそく試してみたいと思います!
実際に試す際には、手順の詳細は必ずマニュアルも読みましょう。(ただし残念ながら2023/7/3現在ではまだマニュアルは日本語翻訳されていません。)
今回はOracle Linuxのデスクトップ環境を作って利用してみます。Windows OSの場合はライセンスの持ち込みが必要なので注意してください。
1. 事前設定
利用するための事前準備は、Getting Started の Setting Up the Tenancy の章に記載されているので、こちらに従って実施していきます。
1. IAMポリシーの作成
今回はコンパートメント、ユーザ、グループはあらかじめ存在しているものを使うので、IAMポリシーの作成から実施していきます。
1. サービス向けのポリシー
このあと作成していくセキュア・デスクトップの「デスクトップ・プール」はユーザのテナンシ内で動作します。セキュア・デスクトップを利用するためには、このデスクトップ・プールを指す動的グループに権限付与を行う必要があります。
動的グループの作成例(resource.typeを指定しなければ該当のコンパートメント内のすべてのリソースが対象となる。)
All {resource.type = 'desktoppool', resource.compartment.id = '<OCID-OracleLinux8Standard>'}
ポリシー
Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT} in tenancy
Allow dynamic-group <dynamic-group> to inspect users in tenancy
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <network-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
2. ユーザ向けのポリシー
セキュア・デスクトップの環境を作成したり管理する管理者向けのポリシーと、実際にデスクトップアクセスを行うエンドユーザ向けのポリシーを設定します。
管理ユーザ向け
(利用するコンパートメントのmanage all-resources権限を持っていればこれらはカバーされます。)
Allow group <desktop-administrators> to use virtual-network-family in compartment <networks-compartment>
Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>
Allow group <desktop-administrators> to use virtual-network-family in compartment <networks-compartment>
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>
デスクトップ利用ユーザ向け
Allow group <desktop-users> to use published-desktop in compartment <desktop-compartment>
2. ネットワークの準備
デスクトップ・プール内に起動してくるコンピュート・インスタンスが配置されるVCNとサブネットを用意します。これはプライベート・サブネットでもパブリック・サブネットでも構いません。今回はあらかじめ持っているVCNとサブネットを使いますので、特に設定しません。
デスクトップ・プールを起動すると、自動的にセキュア・デスクトップが動作するために必要なセキュリティ・ルールが設定されたNSGが作成されます。それ以外のセキュリティ・ルールを追加したい場合は自作のNSGを設定することもできます。
3.ストレージ・ボリューム
あらかじめ作る必要はありません。各デスクトップ用のストレージを何GBのサイズにするかだけ決めておきましょう。もし自動バックアップを使いたい場合は独自のバックアップ・ポリシーを用意しておくことも可能です。
2. デスクトップ・イメージの準備
デスクトップを起動する際に利用するゴールデン・イメージを作成します。これは通常のコンピュート・サービスのカスタム・イメージと同じ仕組みを使います。ただし、セキュア・デスクトップで利用するカスタム・イメージには専用のタグを付与する必要があります。
サポートされるイメージは以下のドキュメントに記載がある通り。現時点ではOracle Linux 7, 8、Windows 10, 11で、今回はOracle Linux 8を使っていきます。
今回は上記ページで提供されているOracle提供のセキュア・デスクトップ用に事前構成済のイメージを利用するので、インポートするだけです。
-
メニューの コンピュート → カスタム・イメージ を開く
-
「イメージのインポート」ボタンをクリックしてウィザードに以下を入力し、左下の「イメージのインポート」をクリック。
-
インポートにはしばらく時間がかかるので、カスタム・イメージが使用可能になるまで待ちます。
-
カスタム・イメージの詳細画面 → その他のアクション → タグの追加 をクリックして、以下3つのフリーフォーム・タグを追加します。これを行うことにより、このあとのデスクトップ・プール作成時にこのイメージを選択できるようになります。
以上でイメージの準備は完了です。
3. デスクトップ・プールの作成
続いて、デスクトップ・プールを作っていきます。起動するデスクトップの定義情報を設定する部分です。
ユーザがセキュア・デスクトップにアクセスすると、デスクトップ・プールで指定した定義に従って、裏側で自動的にコンピュート・インスタンスが起動されます。自動的にインスタンスの起動、停止、削除なども行われます。各ユーザごとのデータはブロック・ボリューム上に格納されているので永続保持できるようになっています。
さっそくデスクトップ・プールを作っていきます。
-
デスクトップ・プールの作成 をクリックして、以下の情報を入力していきます。
-
名前:任意
-
説明:任意
-
プール開始時間、プール停止時間(オプション):今回は特に設定しませんでした。デスクトップ・プールの利用可能時間を管理者側で制御したい場合に設定できます。
-
管理者連絡先詳細(オプション):今回は特に設定しませんでした。デスクトップ・ユーザからの連絡を受ける連絡先です。
-
管理者権限:今回は有効化にチェックを入れてみました。デフォルトは無効です。
-
プールサイズ
- 最大サイズ:このデスクトップ・プールで起動できるデスクトップの最大値です。最小10~なので、今回は10に設定しました。
- スタンバイ・サイズ:エンドユーザがアクセスした際に迅速に利用できるようにあらかじめスタンバイ状態にしておくデスクトップの数です。今回は 1 にしました。
-
配置:選択肢はAD1のみです。
-
イメージとシェイプ
- イメージ:先ほど作成したイメージを選択します。
- シェイプ:起動したいインスタンスのシェイプを選択します。今回は Flex Low にしました。(あとで起動したコンピュート・インスタンスを確認したところ、VM.Standard.E4.Flexのインスタンスが起動していました。)
-
ストレージ
- デスクトップ・ストレージの有効化:チェックを入れます
- デスクトップ・ストレージ・ボリューム・サイズ:50 GB(デフォルト)
- バックアップ・ポリシー:ポリシーなし(デフォルト)
-
ネットワーキング
- VCN:配置したいVCNを選択します。
- サブネット:配置したいサブネットを選択します。
-
デバイス・アクセス・ポリシー
- クリップボード・アクセス:完全(デフォルト)
- 音声アクセス:完全(デフォルト)
- ドライブ・マッピング・アクセス:読取り/書込み(デフォルト)
-
通常のスケジュール
-
-
画面下のほうの デスクトップ のところを見ると、一つデスクトップを作成中となっていることがわかります。デスクトップのスタンバイを1に設定したので、スタンバイ用のデスクトップを1つ起動していることがわかります。
デスクトップ・プールが完成したので、これで管理者側の構築作業は終了です。あとはエンドユーザとして実際にデスクトップにアクセスして見ましょう。
4. エンドユーザからのアクセス(ブラウザ利用)
デスクトップを利用するエンドユーザは、適切なIAMグループに所属しているユーザになります。ただし、通常のOCIコンソールを利用する必要はありません。クライアントアクセス用の以下のURLから利用できます。通常は管理者からこのURLをエンドユーザに通知してあげましょう。
(Tokyoリージョンの場合)
https://published.desktops.ap-tokyo-1.oci.oraclecloud.com/client
-
テナンシ名、ユーザ名、パスワードを入力してログイン
-
ロードが終わると先ほど作成したデスクトップ・プールの名前が表示され、ステータスが使用可能となりました。デスクトップの名前をクリックします。
-
このようなポップアップが開きますが、何もせずに待ちます。何かをクリックしたくなりますが、これは現在デスクトップを開いている最中であるという意味の通知なので、このポップアップ上でさらになにかクリックする必要はありません。(ポップアップは閉じることしかできません。閉じても問題はありません。)
ちなみにブラウザが英語設定だと"Opening desktop"なので、「デスクトップを開く」ではなく、「現在デスクトップを開いているところです。」というほうが正確です。
初回起動時は新規デスクトップなので、デスクトップの ステータスが使用可能になったら再度名前のリンクをクリックしてデスクトップを開きます。
4. エンドユーザからのアクセス(クライアント・ツール利用)
ブラウザではなくOracle Secure Global Desktop Clientというクライアント・ソフトウェアをインストールして利用することもできます。できることが少し異なります。
-
ブラウザではなくクライアント・アプリを利用する場合は、プリファレンス で 優先クライアントとして「インストール済クライアント」を選択する。
-
ダウンロード メニューからクライアント・ソフトウェアであるOracle Secure Global Desktop Clientをダウンロードしてインストール。
-
優先クライアントをインストール済クライアントに設定している場合、割り当て済デスクトップをクリックすると自動的にインストールされたソフトウェアが起動し、クライアント・ツールからデスクトップが開かれる。
クライアント・ツールの場合、ブラウザ・アクセスとは異なり、オーディオ(in / out)が利用できたり、クライアントPCのドライブマッピングが可能なので、ローカルPC上のファイルをデスクトップ上のフォルダから開いたり、ドラッグアンドドロップでコピーしたりもしやすいです。(上記画面ショットは、ローカルPCのフォルダをデスクトップ上で開いている様子。)
以上です。皆様もぜひ試してみてください!