使用 TLS 配置 KVM/QEMU?

使用 TLS 配置 KVM/QEMU?

虚拟化和 kvm 新手,当我尝试使用 SPICE 创建虚拟机时遇到问题:

virt-install --name Windows-7-x64 --ram 2048 --disk path=~/kvm/images/win7.img,size=50 --vcpus=1 --os-type windows --os-variant= win7 --graphics SPICE,端口=5900,监听=0.0.0.0,密码=测试 --video qxl --cdrom ~/Downloads/en_windows_7_professional_with_sp1_x64_dvd_u_676939.iso

ERROR unsupported configuration: Auto allocation of spice TLS port requested but spice TLS is disabled in qemu.conf

我认为必须以某种方式配置 TLS,但在查看了 qemu 并取消注释 SPICE 行之后:

spice_tls = 1 spice_tls_x509_cert_dir = "/etc/pki/libvirt-spice

不确定如何配置 TLS?

只是一个简短的场景,我尝试使用 SPICE 在 KVM 上设置虚拟机,并从另一台计算机(无论是 Linux 还是 Windows)从 virt-viewer 访问它们。

一个简单的问题以及 LAN 或 WAN 上的连接的安全性如何。

谢谢任何帮助。

更新:

我通过禁用端口 5900 然后在安装后在模板中编辑它来解决这个问题: 如何使用 virt-install 创建具有 SPICE 图形但禁用 TLS 的 KVM 来宾?

但我仍然相信连接不是通过 TLS 进行的,所以如果有人解释一下这个过程,我将不胜感激。

提示:对于 Centos 用户,即使禁用了 selinux,我也无法从另一台机器上使用 SPICE 查看器连接到 KVM,直到我通过防火墙 [Centos 7] 或 iptables [Centos 6] 在服务器上打开端口 5900。

答案1

由于您没有提到 tls 加密中使用的“证书密钥”,我认为您正在使用“普通香料”通道。你是对的,它是不安全的,特别是如果有人通过香料控制台输入“密码或信用卡号”,“输入通道”可能会有风险。

要使用 tls-spice 加密,您需要

对于你的另一个问题——“一个简单的问题以及如何确保 LAN 或 WAN 上的连接的安全性。” ,是的,还有其他选择。

例如,在这种情况下,“ssh 隧道”始终是一个选项。

您可以让 qemu/spice 仅绑定在 127.0.0.1 上,例如 127.0.0.1:5900。在客户端上,

首先 'ssh -L 9000:127.0.0.1:5900 ${server}' 建立 ssh 隧道,

然后spicy -h 127.0.0.1 -p 9000通过ssh隧道连接spice。

相关内容