Product SiteDocumentation Site

13.2. Удаленное управление с помощью TLS и SSL

You can manage virtual machines using TLS and SSL. TLS and SSL provides greater scalability but is more complicated than ssh (refer to Раздел 13.1, «Удаленное управление с помощью SSH»). TLS and SSL is the same technology used by web browsers for secure connections. The libvirt management connection opens a TCP port for incoming connections, which is securely encrypted and authenticated based on x509 certificates. In addition the VNC console for each guest virtual machine will be setup to use TLS with x509 certificate authentication.
При этом пользователю не нужна учетная запись оболочки в удаленной системе. Но потребуется создать дополнительные правила межсетевого экрана для доступа к службе управления и консоли VNC. Для ограничения доступа пользователей можно использовать специальные списки отзыва сертификатов.
Последовательность действий при настройке доступа TLS/SSL для virt-manager
Здесь подразумевается, что вы начинаете работу с нуля и не обладаете опытом работы с сертификатами TLS/SSL. При наличии сервера управления сертификатами первые шаги можно пропустить.
Настройка сервера с помощью libvirt
Информацию о создании сертификатов можно найти на сайте libvirt по адресу http://libvirt.org/remote.html.
VNC-сервер Xen
На VNC-сервере Хеn можно включить TLS, изменив файл конфигурации /etc/xen/xend-config.sxp. Снимите комментарий с параметра (vnc-tls 1).
The /etc/xen/vnc directory needs the following 3 files:
  • ca-cert.pem - The CA certificate
  • server-cert.pem - The Server certificate signed by the CA
  • server-key.pem - The server private key
This provides encryption of the data channel. It might be appropriate to require that clients present their own x509 certificate as a form of authentication. To enable this remove the commenting on the (vnc-x509-verify 1) parameter.
Настройка клиентов virt-manager и virsh
В настоящее время процесс настройки клиентов может варьироваться. Для активации API libvirt через TLS необходимо поместить сертификаты клиента и CA в /etc/pki. На сайте http://libvirt.org/remote.html можно найти подробную информацию.
В окне интерфейса virt-manager выберите SSL/TLS в качестве транспортного механизма, используемого при подключении к узлу.
Формат ссылки URI для virsh:
  • qemu://hostname.guestname/system для KVM;
  • xen://hostname.guestname/ для Xen.
Чтобы включить SSL и TLS для VNC, необходимо поместить сертификатор CA и сертификаты клиента в $HOME/.pki. Эти файлы включают: