Product SiteDocumentation Site

13.2. Удаленное управление с помощью TLS и SSL

Виртуальными машинами можно управлять удаленно по TLS и SSL, что, с одной стороны, обеспечивает масштабируемость, а с другой — усложняет работу по сравнению с обычным использованием ssh (см. Раздел 13.1, «Удаленное управление с помощью SSH»). TLS и SSL используются веб-браузерами для установки безопасных соединений. Управляющее соединение libvirt откроет порт TCP для входящих запросов (при этом аутентификация будет осуществляться на основе сертификатов x509, а передаваемые данные будут зашифрованы), а для каждой виртуальной машины будет настроена VNC-консоль, использующая аутентификацию x509.
При этом пользователю не нужна учетная запись оболочки в удаленной системе. Но потребуется создать дополнительные правила межсетевого экрана для доступа к службе управления и консоли VNC. Для ограничения доступа пользователей можно использовать специальные списки отзыва сертификатов.
Последовательность действий при настройке доступа TLS/SSL для virt-manager
Здесь подразумевается, что вы начинаете работу с нуля и не обладаете опытом работы с сертификатами TLS/SSL. При наличии сервера управления сертификатами первые шаги можно пропустить.
Настройка сервера с помощью libvirt
Информацию о создании сертификатов можно найти на сайте libvirt по адресу http://libvirt.org/remote.html.
VNC-сервер Xen
На VNC-сервере Хеn можно включить TLS, изменив файл конфигурации /etc/xen/xend-config.sxp. Снимите комментарий с параметра (vnc-tls 1).
Каталог /etc/xen/vnc должен содержать следующие файлы:
  • ca-cert.pem — сертификат CA;
  • server-cert.pem — сертификат сервера, подписанный центром сертификации СА;
  • server-key.pem — частный ключ сервера.
Это обеспечит шифрование канала данных. В некоторых случаях рекомендуется при аутентификации требовать от клиентов предоставить сертификат x509. Для этого снимите комментарий с параметра (vnc-x509-verify 1).
Настройка клиентов virt-manager и virsh
В настоящее время процесс настройки клиентов может варьироваться. Для активации API libvirt через TLS необходимо поместить сертификаты клиента и CA в /etc/pki. На сайте http://libvirt.org/remote.html можно найти подробную информацию.
В окне интерфейса virt-manager выберите SSL/TLS в качестве транспортного механизма, используемого при подключении к узлу.
Формат ссылки URI для virsh:
  • qemu://hostname.guestname/system для KVM;
  • xen://hostname.guestname/ для Xen.
Чтобы включить SSL и TLS для VNC, необходимо поместить сертификатор CA и сертификаты клиента в $HOME/.pki. Эти файлы включают: