关于openstack中spice加密问题的探讨

最新推荐文章于 2024-03-15 10:23:30 发布
最新推荐文章于 2024-03-15 10:23:30 发布
阅读量5.7k 收藏 3
点赞数
分类专栏: openstack 文章标签: openstack ssl spice
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/happyteafriends/article/details/53668131
版权
本文介绍如何生成证书并配置QEMU的Spice使用TLS,包括生成证书脚本、配置qemu.conf启用TLS、修改Nova代码限制仅开启TLS端口的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

生成证书

首先生成证书等,从网上查了一个,生成脚本如下:

#!/bin/bash

SERVER_KEY=server-key.pem
# creating a key for our ca
if [ ! -e ca-key.pem ]; then
 openssl genrsa -des3 -out ca-key.pem 1024
fi
# creating a ca
if [ ! -e ca-cert.pem ]; then
 openssl req -new -x509 -days 1825 -key ca-key.pem -out ca-cert.pem  -subj "/C=CN/L=BeiJing/O=E3Cloud/CN=my ca"
fi
# create server key
if [ ! -e $SERVER_KEY ]; then
 openssl genrsa -out $SERVER_KEY 1024
fi
# create a certificate signing request (csr)
if [ ! -e server-key.csr ]; then
 openssl req -new -key $SERVER_KEY -out server-key.csr -subj "/C=CN/L=BeiJing/O=E3Cloud/CN=my server"
fi
# signing our server certificate with this ca
if [ ! -e server-cert.pem ]; then
 openssl x509 -req -days 1825 -in server-key.csr -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
fi

# now create a key that doesn't require a passphrase
openssl rsa -in $SERVER_KEY -out $SERVER_KEY.insecure
mv $SERVER_KEY $SERVER_KEY.secure
mv $SERVER_KEY.insecure $SERVER_KEY

# show the results (no other effect)
openssl rsa -noout -text -in $SERVER_KEY
openssl rsa -noout -text -in ca-key.pem
openssl req -noout -text -in server-key.csr
openssl x509 -noout -text -in server-cert.pem
openssl x509 -noout -text -in ca-cert.pem
# copy *.pem file to /etc/pki/libvirt-spice
if [[ -d "/etc/pki/libvirt-spice" ]]
then
 cp ./*.pem /etc/pki/libvirt-spice
else
 mkdir /etc/pki/libvirt-spice
 cp ./*.pem /etc/pki/libvirt-spice
fi

# echo SUBJECT
echo "SUBJECT is:" \" `openssl x509 -noout -text -in server-cert.pem | grep Subject: | cut -f 10- -d " "` \"

配置qemu 的spice使用tls

#vim /etc/libvirt/qemu.conf
spice_listen="0.0.0.0"
spice_tls=1
spice_tls_x509_cert_dir="/etc/pki/libvirt-spice"

重启 libvirtd

ps aux|grep kvm 可以看到虚拟机实际上用了两个端口
-spice port=5900,tls-port=5901,addr=0.0.0.0,x509-dir=/etc/pki/libvirt-spice, 

A <graphics type='spice' autoport='yes' listen='0.0.0.0' passwd='123456'>     
B <graphics type='spice' port='5901' autoport='no' listen='0.0.0.0' passwd='123456'>
C <graphics type='spice' tlsPort='-1' autoport='no' listen='0.0.0.0' passwd='123456'>

xml文件中安全端口可以有不同设置方法

A: 每台虚拟机自动配置两个端口,普通端口和安全端口,并且端口号自动分配(5900+N)

B: 不自动配置端口,手动指定一个普通端口,不开启安全端口

C: 不自动配置端口,只开启安全端口,并且安全端口自动分配(5900+N)

再nova中配置SPICE的ssl_only后,似乎虚拟机仍有两个端口可用。

此时用DASHBOARD看,控制台Error: Permission denied.

限制只开启TLS端口

不知道通过配置能不能实现,反正我没找到办法,只好修改了NOVA代码

/usr/lib/python2.7/site-packages/nova/virt/libvirt/config.py

def __init__(self, **kwargs):
    super(LibvirtConfigGuestGraphics, self).__init__(root_name="graphics",
                                                     **kwargs)

    self.type = "vnc"
    self.autoport = True
    self.keymap = None
    self.listen = None
    #wz for spice password
    self.passwd = None
    self.ssl_only = None
def format_dom(self):
    dev = super(LibvirtConfigGuestGraphics, self).format_dom()

    dev.set("type", self.type)
    if self.autoport:
        dev.set("autoport", "yes")
    else:
        dev.set("autoport", "no")
    if self.keymap:
        dev.set("keymap", self.keymap)
    if self.listen:
        dev.set("listen", self.listen)
    if self.passwd:
        dev.set("passwd", self.passwd)
    if self.ssl_only:
        dev.set("tlsPort","-1")

    return dev

增加了tlsPort -1并设置autoport FALSE

/usr/lib/python2.7/site-packages/nova/virt/libvirt/driver.py

 if (CONF.spice.enabled and
            virt_type not in ('lxc', 'uml', 'xen') and not isSuper):
        graphics = vconfig.LibvirtConfigGuestGraphics()
        graphics.type = "spice"
        graphics.autoport = False
        graphics.ssl_only = True
        graphics.keymap = CONF.spice.keymap
        graphics.listen = CONF.spice.server_listen
        guest.add_device(graphics)
        add_video_driver = True

重启相关服务,再从virt-manager去看,只开启了tls端口的spice

登录

用命令行登录:

 remote-viewer --spice-ca-file ca-cert.pem --spice-host-subject "C=CN, L=BeiJing, O=E3Cloud, CN=e3cloud Server" spice://127.0.0.1/?tls-port=5900

vv 文件如下:

[virt-viewer]
type=spice
host=10.10.0.100
tls-port=5900
password=6a37617677e73237f9b5ffe1468240ca
fullscreen=1
usb-filter=-1,-1,-1,-1,0
toggle-fullscreen=shift+f11
release-cursor=shift+f12
host-subject= C=CN,L=BeiJing,O=E3Cloud,CN=e3cloud Server
ca=-----BEGIN CERTIFICATE-----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\nOc4qEEFNTiGHz0SVpxusJ1YmthU0F7cnoMGxExuD\n-----END CERTIFICATE-----

其他:https://www.spice-space.org/docs/manual/manual.chunked/ar01s08.html

搞IT没有谷歌不行,推荐给大家个VPN,SHADOWSOCKS,每年花点小钱,远离坑害
shadowsocks下载

OpenStack 查询 Spice 端口(Ubuntu)
qiqi_521的博客
12-13 1177
在计算节点上添加下面脚本 touch spice.sh vim spice.sh ps aux | grep qemu | while read line; do printf '%s\t%s\t%s \n' "$(echo ${line} | tr '.,' '\n'| grep 'uuid=' |awk -F 'uuid=' '{print $2}')" "$(echo ${line} | tr '.,' '\n'| grep 'spice port=' |awk -F 'spice port
openstack cinder磁盘加密
EDISON_ZHOU的博客
08-12 1801
任何在云上部署的应用都离不开持久化盘或者说是数据盘,在的虚拟机的使用场景里面,云服务提供商都会提供这样的一个服务。很多人可能不会理解为什么我创建的虚拟机不可以直接在上面写数据,而需要单独的去创建额外的磁盘进行数据的读写。 以OpenStack为例,其虚拟机的配置由Flavor 来决定。 可以看到其中定义了该VM的vCPU、内存以及root磁盘大小可以理解为sda。另外有一项比较特殊的是 ephemeral, 如果定义了该值后,在操作系统当中会额外的有一个存储设备sdb. 但是如果虚拟机所在的物理机或者由于删
spice下通道OpenSSL加密的过程和加密数据传输过程解密
hubbybob1专栏
01-17 5254
本文主要讲解Spice内部是如何使用OpenSSl对各大通道进行加密的。 转载注明本网址:http://blog.youkuaiyun.com/hubbybob1/article/details/53787455 转载清注明出处 一,环境配置 1.首先要了解OpenSSL的过程是什么样子的,首先需要在你的Linux环境下安装openssl 地址:https://www.openssl.org/下载op
spice在桌面虚拟化中的应用系列之三(USB映射实现,SSL加密,密码认证,多客户端支持)...
weixin_33850015的博客
02-26 781
本系列其它文章 spice在桌面虚拟化中的应用系列之一(spice简介,性能优化等) spice在桌面虚拟化中的应用系列之二(Linux平台spice客户端的编译安装,支持USB映射) 1.spice的USB重定向 1.1 介绍 使用usb重定向,在client上插入的U盘会被重定向到虚拟机中. 其有两种实现方式,自动重定向(所有插入client中的U盘都被重定向),或者手动选择需要重定...
Openstack各模块数据库用户名密码查找
wanghontao的博客
03-28 6878
Openstack各模块数据库用户名密码查找          (适用于kolla部署的openstack) 以neutron示例: 1.      dockerps | grep neutron 2.      dockerexec -it neutron_server /bin/bash docker exec -it c91619f92404/bin/bash 注意:
mitaka版本openstack虚拟化云桌面的实现(spice
热门推荐
吴业亮的专栏
07-05 1万+
作者:【吴业亮】云计算开发工程师 博客:http://blog.youkuaiyun.com/wylfengyujiancheng 什么是vdi VDI,英文全称Virtual Desktop Infrastructure,即虚拟桌面基础架构,正迅速成为一个热门词语。 VDI的概念很简单。它不是给每个用户都配置一台运行Windows XP 或Vista(后文统称为Windows XP)的桌面PC,而是通过
password、secret之分
weixin_34375054的博客
09-08 1885
今天在真实的思科设备上测试了一把password、secret的关系 在cisco中,一般都会设置密码,密码有password、secret之分,在进入设备show run后可以明显的看出差别,即password为明文显示,secret为密文显示。 设置好保存后,下次进入设备就会要求输入密码,这边的密码是secret,如果前面secret没设置,那么这边的就是passwo...
openstack 中文
03-21
压缩包子文件文件名称"OpenStack实战"可能是一本关于OpenStack实际操作的中文书籍,作者可能是V. K. Cody Bumgardner,出版日期为2017年5月,页数为328页。这本书可能涵盖了OpenStack的安装、配置、管理和优化,...
OpenStack云桌面系列【2】—OpenStackSpice
chao_beyond的专栏
11-18 5913
OpenStack和VNC Openstack默认安装的访问控制台基于VNC的,我们从Horizon进入主机实例的控制台,就是noVNC,我在之前的一篇文章里专门对noVNC也做过测试(http://blog.youkuaiyun.com/chao_beyond/article/details/24922397)。这里不讨论noVNC的原理,主要罗列下我在使用Openstack过程当中,关于VNC的几点记录
openstack虚拟机磁盘加密
漫步
11-09 2800
cinder卷是有加密机制的,所以给虚拟机挂载的卷可以加密的 那么,虚拟机本身的系统盘通过这个机制去进行加密理论上也是可行的,所以试验一下首先配置好cinder,先使用fixed key [key_manager] # Deprecated group/name - [keymgr]/fixed_key fixed_key = 1234567890123456 创建加密卷类型 创建加密
CentOS6.5环境下spice配置和连接
weixin_30323631的博客
12-04 412
一、实验环境:主机名 IP(Static) 系统 配置 用途KVMServer 192.168.100.109 CentOS-6.5-x86...
PXVDI企业级免费PVE桌面虚拟化SPICE模式部署教程ProxmoxVE
最新发布
weixin_43770811的博客
03-15 6701
PXVDI是基于Proxmox VE为底层的免费桌面虚拟化软件。PXVDI企业级免费桌面虚拟化部署教程PXVDI是一款基于Proxmox VE为底层的可商用的免费云桌面套件。首先是PVE是免费的,其次PVE的免费云桌面方案也极为少数。根据官方提出的价格清单,免费版和商业版在功能上主要的区别是2点。是否有支持。免费版没有技术支持,适合有技术人员的公司。是否支持horizon。RDP协议在基本的云桌面环境中已经很好了。
电路方案分析(十三)采用 CAN 的汽车分立式 SBC 预升压、后降压参考设计方案
小幽余生不加糖
11-06 3920
包含G后缀的设备被设计为高达5 Mbps的数据速率,带有V后缀的版本有一个二次电源输入,用于输入O电平移动输入引脚阈值和RXD输出电平。TPS57140-Q1设备是一个42-V,1.5-A,降压调节器,与一个集成的,高侧的MOSFET。电流模式控制提供了简单的外部补偿和灵活的组件选择。此外,TLV713P-Q1系列器件被设计为稳定的,没有输出电容器,可以实现非常小的溶液尺寸,但如果使用任何输出电容器,则保持稳定。输出电压调节是基于电流模式控制的,在提供固有的输入电压前馈的同时,简化了回路补偿的设计。
pve远程连接 spcie_pve实现云桌面的方法
weixin_32570803的博客
02-19 6374
创建虚拟机虚拟机编号从100开始,可以规划为编号、ip、端口一致使用客户端连接spice关闭虚拟机在web界面中把虚拟机的“硬件”-“显示”设置回原来的“默认”。编辑虚拟机的配置文件nano /etc/pve/qemu-server/XXX.conf加入args: -device AC97,addr=0x18 -spice ‘port=6101,disable-ticketing,seamless...
Proxmox VE 5的SPICE控制台和虚拟机声音设置
zebra2011的专栏
10-21 1万+
Proxmox VE 5的默认控制台是通过VNC方式,但是VNC并不支持声音。网上看到有人说用SPICE方式就可以支持声音输出。于是根据Proxmox VE 5官方wiki上的说明https://pve.proxmox.com/wiki/SPICE,下载了windows 版本的SPICE client,安装好,并且在虚拟机的设置面板上把硬件里的“显示”设置成SPICE,发现启动虚拟机后点web界面...
service password-encryption,enable secret,enable password区别
X-X-羊的专栏
12-18 1万+
R(config)#service password-encryption //  加密路由器上所有明文口令。 running-config中的密码都不在以明文显示。 如:可使enable console等口令都不可见,需要注意的是这个命令是不可逆的,也就是说你用 no service password-encryption命令后,那些命令的口令还是不可见,只能改密码了。 这种加密算法与
关于android版本spice协议tls端口链接方式的bug问题
weixin_33834137的博客
08-27 290
最近在搞了搞android版本的spice协议.在andorid-spice官方github代码下载下来之后,编译成功并且顺利的运行在android系统上链接云桌面的时候,在非安全端口的情况下可以成功的链接到虚拟云桌面,但是非常非常让人头疼的是在tls端口下链接的时候总是链接不到云桌面,并且后台报了一堆ssl问题的错误.经过反复查找问题,原来这个问题是一个本来就存在的bug,是在ssl_read(...
openeuler上虚拟化使用问题
faxiang1230的专栏
05-09 2069
硬件:KP920 操作系统:openEuler-22.03-LTS-aarch64 虚拟化安装必要组件qemu, libvirtd,edk2-aarch64, virt-manager,之后找个UOS的镜像开始体验一番。 遇到几个小坑随手记录。 问题: 创建虚拟机时默认没有键盘、鼠标、触摸板设备,没有显示设备。 问题:只添加VNC设备而没有键盘鼠标设备时,通过virt-manager交互时,整个鼠标无法从virt-manager 中出来了,任何的点击事件都无法触发。 解决方法:virt-manager
spice配置共享目录
wingforlearn的专栏
11-23 5239
spice有个功能,可以把client os 的一个目录共享给client os ,https://www.spice-space.org/spice-user-manual.html 1. 配置虚机的XML文件,给虚机添加一个"org.spice-space.webdav.0"的virtio设备 &lt;devices&gt; ...... &lt;channel type...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

day walker

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值