libvirt-TLS加密

TLS(Transport Layer Security Protocol),即安全传输层协议,其核心是加密两台计算机之间的通信。libvirt中使用TLS,可以实现libvirt的安全加密。例如,虚拟机在不同的主机之间迁移或者远程链接libvirt的守护进程对libvirt进程控制时,都可以走TLS通道进行加密。本文将实践libvirt的TLS配置和具体使用。有以下四个步骤。

1.CA证书文件:

http://wiki.libvirt.org/page/TLSCreateCACert

2.创建服务端证书:

http://wiki.libvirt.org/page/TLSCreateServerCerts

3.创建客户端证书:

http://wiki.libvirt.org/page/TLSCreateClientCerts

(以上三个步骤时TLS的通用配置方式)

4:配置libvirt守护进程

/etc/libvirt/libvirtd.conf 

#在最后添加下面

#auth_unix_rw="sasl"

ca_file="/etc/pki/CA/cacert.pem"

cert_file = "/etc/pki/libvirt/servercert.pem"

key_file = "/etc/pki/libvirt/private/serverkey.pem"

listen_addr="0.0.0.0"

unix_sock_group="qemu"

unix_sock_rw_perms="0770"
/etc/sysconfig/libvirtd

#libvirtd启动时添加--listen参数

LIBVIRTD_ARGS="--listen"

以上4个步骤就完成了libvrit中TLS的配置。可查看端口监控信息:

# netstat -tulpen | grep libvirt

tcp 0 0 0.0.0.0:16514 0.0.0.0:* LISTEN 0 34065 3505/libvirtd

使用tls通道测试链接libvirt的守护进程:

# virsh -c qemu+tls://host1/system hostname

(远程查看名为host1的计算机的hostname)

使用tls通道测试虚拟机在不同的主机间迁移:

# virsh migrate centos_test1 qemu+tls://host1/system --p2p --tunnelled

(使用tls加密可以使用tunnelled参数,例子是把虚拟机centos_test1在线迁移到host1这台服务器上)

具体操作可参考libvirt官方文档:

http://wiki.libvirt.org/page/TLSSetup


关注本公众号,了解更多关于云计算虚拟化的知识。

本文分享自微信公众号 - 虚拟化云计算(openstack_openstack),作者:kvm虚拟化

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-01-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • guestfs这么强大你知道吗

    libguestfs 是Redhat开源的一组工具集,主要用来访问和修改虚拟机的磁盘。其功能非常强大,我们常用的监控虚拟机磁盘使用率、P2V、V2V、备份克隆虚...

    虚拟化云计算
  • qemu-guest-agent原理及实践

    QEMU Guest Agent是运行在虚拟机内部的一个守护程序(qemu-guest-agent.service),用它来辅助Hypervisor实现对Gue...

    虚拟化云计算
  • libvirt-内存分配和内存热插拔

    在qemu命令中使用参数-m来设置的。表示虚拟机在启动阶段使用的内存。包括在启动或稍后热插拔时指定的可能的附加内存。

    虚拟化云计算
  • 【国际模式识别大会ICPR18】纯金干货!周志华等6场特邀报告和论文最全回顾

    作为模式识别领域的旗舰学术会议,国际模式识别大会(ICPR)自1972年起,每两年召开一次。在2014年国际模式识别大会的理事会全体会议上,中国和澳大利亚围绕2...

    新智元
  • css3 动画

    有人将HTML 5和CSS 3比做Flash的杀手,这是有原因的。因为除了HTML 5能够实现矢量图形制作外,使用CSS 3还可以对图像进行更细致的操作,它新...

    py3study
  • 程序员成长路上常见的坑(2)

    1. “博”与“专”上的迷失 假设说一个人的学习已经聚焦,并且学习的内容和自己实际参与的项目也相吻合,那么是不是就没有问题了?很不幸,答案仍然是否定的,在任何一...

    java达人
  • WCF 学习篇

    自从运用了.NET Remoting 之后,就想系统的学习下WCF,因为WCF是对现有分布式通信技术的整合。主要以 《WCF全面解析》 这本书为主,园子的资料和...

    DougWang
  • 2016数博会开幕 安全护航数据未来

    随着大数据发展上升为国家战略,2016数博会已升格为“国家级”盛会。由中华人民共和国发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国商务部、中共中...

    安恒信息
  • sqoop数据迁移(基于Hadoop和关系数据库服务器之间传送数据)

    最新版下载地址:http://ftp.wayne.edu/apache/sqoop/1.4.6/

    别先生
  • sqoop数据迁移(基于Hadoop和关系数据库服务器之间传送数据)

    最新版下载地址:http://ftp.wayne.edu/apache/sqoop/1.4.6/

    别先生

扫码关注云+社区

领取腾讯云代金券