仮想化とkvmに初めて触れると、SPICEを使用して仮想マシンを作成しようとしたときに問題が発生しました。
virt-install --name Windows-7-x64 --ram 2048 --disk path=~/kvm/images/win7.img,size=50 --vcpus=1 --os-type windows --os-variant= win7 --graphics SPICE, ポート=5900, リスニング=0.0.0.0, パスワード=テスト --video qxl --cdrom ~/Downloads/en_windows_7_professional_with_sp1_x64_dvd_u_676939.iso
ERROR unsupported configuration: Auto allocation of spice TLS port requested but spice TLS is disabled in qemu.conf
何とかTLSを設定する必要があると思いましたが、qemuを見てSPICE行のコメントを外した後:
spice_tls = 1
spice_tls_x509_cert_dir = "/etc/pki/libvirt-spice
TLSの設定方法がわかりませんか?
SPICEを使用してKVMに仮想マシンを設定し、別のコンピュータ(LinuxまたはWindows)のvirt-viewerからアクセスする簡単なシナリオです。
簡単な質問とLANまたはWANを介した接続がどれほど安全であるかを見てみましょう。
助けてくれてありがとう。
修正する:
ポート5900を無効にしてから、インストール後にテンプレートで編集してこの問題を解決しました。 virt-installを使用してSPICEグラフィックスがありますが、TLSを無効にしたKVMゲストを作成するにはどうすればよいですか?
しかし、まだTLSを介した接続ではないと思うので、誰かがプロセスを説明してくれてありがとう。
ヒント:Centosユーザーの場合、selinuxが無効になっていても、ファイアウォール[Centos 7]またはiptables[Centos 6]を介してサーバーでポート5900を開くまで、他のシステムはSPICEビューアを使用してKVMに接続できません。
ベストアンサー1
TLS暗号化に使用される「証明書キー」に言及していないので、「一般的なスパイス」チャンネルを使用しているとします。あなたは正しいです。安全ではありません。特に、誰かがSpiceコンソールを介して「パスワードまたはクレジットカード番号」を入力すると、「入力チャンネル」が危険になる可能性があります。
TLS-Spice暗号化を使用するには、次のものが必要です。
- 証明書を生成し、秘密鍵部分をサーバーに配布し、公開鍵部分をクライアントに配布します。
- 「tlsによるすべてのスパイス」を表すようにlibvirtドメインを編集します。詳細な手順を参照できます。http://www-01.ibm.com/support/knowledgecenter/linuxonibm/liaat/liaatsecspice.htm。
他の質問「簡単な質問とLANまたはWANからの接続を保護する方法」については、はい、他のオプションがあります。
たとえば、この場合、「sshトンネリング」は常にオプションです。
qemu/spice は 127.0.0.1 でのみバインドできます (例: 127.0.0.1:5900)。クライアントでは
まず 'ssh -L 9000:127.0.0.1:5900 ${server}' を使用して SSH トンネルを設定し、
その後、スパイシーな-h 127.0.0.1 -p 9000はSSHトンネルを介してSpiceを接続します。