虚拟化和 kvm 新手,当我尝试使用 SPICE 创建虚拟机时遇到问题:
virt-install --name Windows-7-x64 --ram 2048 --disk path=~/kvm/images/win7.img,size=50 --vcpus=1 --os-type windows --os-variant= win7 --graphics SPICE,端口=5900,监听=0.0.0.0,密码=测试 --video qxl --cdrom ~/Downloads/en_windows_7_professional_with_sp1_x64_dvd_u_676939.iso
ERROR unsupported configuration: Auto allocation of spice TLS port requested but spice TLS is disabled in qemu.conf
我认为必须以某种方式配置 TLS,但在查看了 qemu 并取消注释 SPICE 行之后:
spice_tls = 1 spice_tls_x509_cert_dir = "/etc/pki/libvirt-spice
不确定如何配置 TLS?
只是一个简短的场景,我尝试使用 SPICE 在 KVM 上设置虚拟机,并从另一台计算机(无论是 Linux 还是 Windows)从 virt-viewer 访问它们。
一个简单的问题以及 LAN 或 WAN 上的连接的安全性如何。
谢谢任何帮助。
更新:
我通过禁用端口 5900 然后在安装后在模板中编辑它来解决这个问题: 如何使用 virt-install 创建具有 SPICE 图形但禁用 TLS 的 KVM 来宾?
但我仍然相信连接不是通过 TLS 进行的,所以如果有人解释一下这个过程,我将不胜感激。
提示:对于 Centos 用户,即使禁用了 selinux,我也无法从另一台机器上使用 SPICE 查看器连接到 KVM,直到我通过防火墙 [Centos 7] 或 iptables [Centos 6] 在服务器上打开端口 5900。
答案1
由于您没有提到 tls 加密中使用的“证书密钥”,我认为您正在使用“普通香料”通道。你是对的,它是不安全的,特别是如果有人通过香料控制台输入“密码或信用卡号”,“输入通道”可能会有风险。
要使用 tls-spice 加密,您需要
- 创建证书,将私钥部分部署在服务器上,并将公钥部分部署在客户端上。
- 编辑 libvirt 域以指示“所有香料香料都通过 tls”。您可以参考详细步骤http://www-01.ibm.com/support/knowledgecenter/linuxonibm/liaat/liaatsecspice.htm。
对于你的另一个问题——“一个简单的问题以及如何确保 LAN 或 WAN 上的连接的安全性。” ,是的,还有其他选择。
例如,在这种情况下,“ssh 隧道”始终是一个选项。
您可以让 qemu/spice 仅绑定在 127.0.0.1 上,例如 127.0.0.1:5900。在客户端上,
首先 'ssh -L 9000:127.0.0.1:5900 ${server}' 建立 ssh 隧道,
然后spicy -h 127.0.0.1 -p 9000通过ssh隧道连接spice。