가상화 및 kvm을 처음 접하는 경우 SPICE를 사용하여 가상 머신을 생성하려고 할 때 문제가 발생했습니다.
virt-install --name Windows-7-x64 --ram 2048 --disk 경로=~/kvm/images/win7.img,size=50 --vcpus=1 --os-type windows --os-variant= win7 --graphics SPICE, 포트=5900, 청취=0.0.0.0, 비밀번호=테스트 --video qxl --cdrom ~/Downloads/en_windows_7_professional_with_sp1_x64_dvd_u_676939.iso
ERROR unsupported configuration: Auto allocation of spice TLS port requested but spice TLS is disabled in qemu.conf
어떻게든 TLS를 구성해야 한다고 생각했지만 qemu를 보고 SPICE 줄의 주석 처리를 제거한 후:
spice_tls = 1 spice_tls_x509_cert_dir = "/etc/pki/libvirt-spice
TLS를 구성하는 방법을 모르시나요?
SPICE를 사용하여 KVM에 가상 머신을 설정하고 다른 컴퓨터(Linux 또는 Windows)의 virt-viewer에서 액세스하려는 간단한 시나리오입니다.
간단한 질문과 LAN 또는 WAN을 통한 연결이 얼마나 안전한지 알아보겠습니다.
도움을 주셔서 감사합니다.
고쳐 쓰다:
포트 5900을 비활성화한 다음 설치 후 템플릿에서 편집하여 이 문제를 해결했습니다. virt-install을 사용하여 SPICE 그래픽이 있지만 TLS가 비활성화된 KVM 게스트를 생성하려면 어떻게 해야 합니까?
하지만 여전히 TLS를 통한 연결이 아니라고 생각하므로 누군가 프로세스를 설명해 주시면 감사하겠습니다.
팁: Centos 사용자의 경우 selinux가 비활성화된 경우에도 방화벽[Centos 7] 또는 iptables[Centos 6]을 통해 서버에서 포트 5900을 열 때까지 다른 시스템에서 SPICE 뷰어를 사용하여 KVM에 연결할 수 없습니다.
답변1
TLS 암호화에 사용되는 "인증서 키"를 언급하지 않았으므로 "일반 향신료" 채널을 사용하고 있다고 가정합니다. 당신 말이 맞습니다. 안전하지 않습니다. 특히 누군가가 Spice 콘솔을 통해 "비밀번호 또는 신용 카드 번호"를 입력하는 경우 "입력 채널"이 위험할 수 있습니다.
TLS-Spice 암호화를 사용하려면 다음이 필요합니다.
- 인증서를 생성하고, 개인 키 부분을 서버에 배포하고, 공개 키 부분을 클라이언트에 배포합니다.
- "tls를 통한 모든 향신료"를 나타내도록 libvirt 도메인을 편집합니다. 자세한 단계를 참조할 수 있습니다.http://www-01.ibm.com/support/knowledgecenter/linuxonibm/liaat/liaatsecspice.htm.
다른 질문인 "간단한 질문과 LAN 또는 WAN에서 연결을 보호하는 방법"에 대해서는 예, 다른 옵션이 있습니다.
예를 들어, 이 경우 "ssh 터널링"은 항상 옵션입니다.
qemu/spice는 127.0.0.1에서만 바인딩할 수 있습니다(예: 127.0.0.1:5900). 클라이언트에서는
먼저 'ssh -L 9000:127.0.0.1:5900 ${server}'를 사용하여 SSH 터널을 설정하고,
그런 다음 매운 -h 127.0.0.1 -p 9000은 SSH 터널을 통해 Spice를 연결합니다.