用TLS配置KVM/QEMU?
当我尝试用spice创建虚拟机时,虚拟化和kvm都是新手,我和我遇到了一个问题:
virt-install -name Windows-7-x64 -ram 2048 --磁盘路径=~/kvm/映像/win7.img,size=50 -vcpus=1-os-type windows -os-variant=win7 7-图形spice,port=5900,listen=0.0.0.0,password=test -视频qxl -cdrom
ERROR unsupported configuration: Auto allocation of spice TLS port requested but spice TLS is disabled in qemu.conf
我假设TLS必须以某种方式配置,但在查看qemu并取消对spice行的注释之后:
spice_tls = 1 spice_tls_x509_cert_dir = "/etc/pki/libvirt-spice
不知道如何配置TLS ??
只是一个简单的场景,我尝试用spice在KVM上设置vm,并从另一台计算机上访问它们,无论是linux还是从virt查看器的窗口。
一个快速的问题,以及如何通过局域网或广域网的安全连接。
谢谢您的帮助。
更新
我通过禁用端口5900来解决这个问题,然后在安装完后在模板中编辑它:如何使用SPICE图形创建KVM客户,但使用禁用TLS?。
但我仍然相信这种联系不是通过TLS,所以如果有人解释这个过程,我会很感激。
提示:对于Centos用户,我无法使用spice查看器从另一台机器连接到KVM,直到我通过firewalld Centos 7或iptables Centos 6在服务器上打开端口5900,即使selinux被禁用。
回答 1
Unix & Linux用户
发布于 2015-04-07 04:17:14
由于您没有提到在tls加密中使用的“证书密钥”,我认为您使用的是“普通香料”通道。而且你是对的,它是不安全的,特别是如果有人通过spice控制台输入‘密码或信用卡号码’,“输入通道”可能会有风险。
要用tls-spice加密,您需要
- 创建一个证书,在服务器上部署私钥部分,在客户端上部署公钥部分。
- 编辑libvirt域,以指示‘所有香料香料通过tls’。您可以在http://www-01.ibm.com/support/knowledgecenter/linuxonibm/liaat/liaatsecspice.htm上参考详细步骤。
对于你的另一个问题--“一个快速的问题,以及在局域网或广域网上连接的安全性。”是的,还有其他的选择。
例如,在这种情况下,'ssh隧道‘始终是一个选项。
您可以让qemu/spice只在127.0.0.1上绑定,比如127.0.0.1:5900。对客户来说,
首先'ssh -L 9000:127.0.0.1:5900 ${server}‘来建立ssh隧道,
然后辛辣-h 127.0.0.1 -p 9000通过ssh隧道连接香料。
https://unix.stackexchange.com/questions/194500
复制相似问题
腾讯云开发者
