使用 TLS 配置 KVM/QEMU?
虛擬化和 kvm 的新手,當我嘗試使用香料創建虛擬機時遇到問題:
virt-install –name Windows-7-x64 –ram 2048 –disk path=~/kvm/images/win7.img,size=50 –vcpus=1 –os-type windows –os-variant= win7 –graphics spice,port=5900,listen=0.0.0.0,password=test –video qxl –cdrom ~/Downloads/en_windows_7_professional_with_sp1_x64_dvd_u_676939.iso
ERROR unsupported configuration: Auto allocation of spice TLS port requested but spice TLS is disabled in qemu.conf我假設必須以某種方式配置 TLS,但是在查看 qemu 並取消註釋這些行以獲取香料之後:
spice_tls = 1 spice_tls_x509_cert_dir = "/etc/pki/libvirt-spice不確定如何配置 TLS ??
只是一個簡短的場景,我正在嘗試使用 spice 在 KVM 上設置 vm,並從另一台電腦訪問它們,無論是 linux 還是來自 virt-viewer 的 windows。
一個簡單的問題以及通過 LAN 或 WAN 連接的安全性如何。
感謝任何幫助表示讚賞。
更新:
我通過禁用埠 5900 解決了這個問題,然後在安裝後從這篇文章中在模板中編輯它: 如何使用 SPICE 圖形創建 KVM 來賓,但使用 virt-install 禁用了 TLS?
但我仍然相信連接沒有通過 TLS,所以如果有人解釋這個過程,我將不勝感激。
提示:對於 Centos 使用者,在我通過 firewalld 打開伺服器上的埠 5900 之前,我無法使用 spice 查看器從另一台機器連接到 KVM
$$ Centos 7 $$或 iptables$$ Centos 6 $$即使 selinux 被禁用。
由於您沒有提到 tls 加密中使用的“證書密鑰”,我認為您使用的是“普通香料”頻道。你是對的,這是不安全的,尤其是如果有人通過 spice 控制台輸入“密碼或信用卡號”,“輸入通道”可能會有風險。
要使用 tls-spice 加密,您需要
- 創建證書,將私鑰部分部署在伺服器上,並將公鑰部分部署在客戶端。
- 編輯 libvirt 域以指示“所有香料都通過 tls”。您可以參考http://www-01.ibm.com/support/knowledgecenter/linuxonibm/liaat/liaatsecspice.htm上的詳細步驟。
對於你的另一個問題——“一個快速的問題,以及通過 LAN 或 WAN 連接的安全性如何。” ,是的,還有其他選擇。
例如,在這種情況下,“ssh 隧道”始終是一個選項。
你可以讓 qemu/spice 只綁定到 127.0.0.1,比如 127.0.0.1:5900。在客戶端,
首先 ‘ssh -L 9000:127.0.0.1:5900 ${server}’ 建立 ssh 隧道,
然後辣 -h 127.0.0.1 -p 9000 通過 ssh 隧道連接 spice。