关于openstack中spice加密问题的探讨

最新推荐文章于 2022-05-09 15:48:55 发布
最新推荐文章于 2022-05-09 15:48:55 发布
阅读量5.5k 收藏 2
点赞数
分类专栏: openstack 文章标签: openstack ssl spice
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happyteafriends/article/details/53668131
版权

生成证书

首先生成证书等,从网上查了一个,生成脚本如下:

#!/bin/bash

SERVER_KEY=server-key.pem
# creating a key for our ca
if [ ! -e ca-key.pem ]; then
 openssl genrsa -des3 -out ca-key.pem 1024
fi
# creating a ca
if [ ! -e ca-cert.pem ]; then
 openssl req -new -x509 -days 1825 -key ca-key.pem -out ca-cert.pem  -subj "/C=CN/L=BeiJing/O=E3Cloud/CN=my ca"
fi
# create server key
if [ ! -e $SERVER_KEY ]; then
 openssl genrsa -out $SERVER_KEY 1024
fi
# create a certificate signing request (csr)
if [ ! -e server-key.csr ]; then
 openssl req -new -key $SERVER_KEY -out server-key.csr -subj "/C=CN/L=BeiJing/O=E3Cloud/CN=my server"
fi
# signing our server certificate with this ca
if [ ! -e server-cert.pem ]; then
 openssl x509 -req -days 1825 -in server-key.csr -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
fi

# now create a key that doesn't require a passphrase
openssl rsa -in $SERVER_KEY -out $SERVER_KEY.insecure
mv $SERVER_KEY $SERVER_KEY.secure
mv $SERVER_KEY.insecure $SERVER_KEY

# show the results (no other effect)
openssl rsa -noout -text -in $SERVER_KEY
openssl rsa -noout -text -in ca-key.pem
openssl req -noout -text -in server-key.csr
openssl x509 -noout -text -in server-cert.pem
openssl x509 -noout -text -in ca-cert.pem
# copy *.pem file to /etc/pki/libvirt-spice
if [[ -d "/etc/pki/libvirt-spice" ]]
then
 cp ./*.pem /etc/pki/libvirt-spice
else
 mkdir /etc/pki/libvirt-spice
 cp ./*.pem /etc/pki/libvirt-spice
fi

# echo SUBJECT
echo "SUBJECT is:" \" `openssl x509 -noout -text -in server-cert.pem | grep Subject: | cut -f 10- -d " "` \"

配置qemu 的spice使用tls

#vim /etc/libvirt/qemu.conf
spice_listen="0.0.0.0"
spice_tls=1
spice_tls_x509_cert_dir="/etc/pki/libvirt-spice"

重启 libvirtd

ps aux|grep kvm 可以看到虚拟机实际上用了两个端口
-spice port=5900,tls-port=5901,addr=0.0.0.0,x509-dir=/etc/pki/libvirt-spice, 

A <graphics type='spice' autoport='yes' listen='0.0.0.0' passwd='123456'>     
B <graphics type='spice' port='5901' autoport='no' listen='0.0.0.0' passwd='123456'>
C <graphics type='spice' tlsPort='-1' autoport='no' listen='0.0.0.0' passwd='123456'>

xml文件中安全端口可以有不同设置方法

A: 每台虚拟机自动配置两个端口,普通端口和安全端口,并且端口号自动分配(5900+N)

B: 不自动配置端口,手动指定一个普通端口,不开启安全端口

C: 不自动配置端口,只开启安全端口,并且安全端口自动分配(5900+N)

再nova中配置SPICE的ssl_only后,似乎虚拟机仍有两个端口可用。

此时用DASHBOARD看,控制台Error: Permission denied.

限制只开启TLS端口

不知道通过配置能不能实现,反正我没找到办法,只好修改了NOVA代码

/usr/lib/python2.7/site-packages/nova/virt/libvirt/config.py

def __init__(self, **kwargs):
    super(LibvirtConfigGuestGraphics, self).__init__(root_name="graphics",
                                                     **kwargs)

    self.type = "vnc"
    self.autoport = True
    self.keymap = None
    self.listen = None
    #wz for spice password
    self.passwd = None
    self.ssl_only = None
def format_dom(self):
    dev = super(LibvirtConfigGuestGraphics, self).format_dom()

    dev.set("type", self.type)
    if self.autoport:
        dev.set("autoport", "yes")
    else:
        dev.set("autoport", "no")
    if self.keymap:
        dev.set("keymap", self.keymap)
    if self.listen:
        dev.set("listen", self.listen)
    if self.passwd:
        dev.set("passwd", self.passwd)
    if self.ssl_only:
        dev.set("tlsPort","-1")

    return dev

增加了tlsPort -1并设置autoport FALSE

/usr/lib/python2.7/site-packages/nova/virt/libvirt/driver.py

 if (CONF.spice.enabled and
            virt_type not in ('lxc', 'uml', 'xen') and not isSuper):
        graphics = vconfig.LibvirtConfigGuestGraphics()
        graphics.type = "spice"
        graphics.autoport = False
        graphics.ssl_only = True
        graphics.keymap = CONF.spice.keymap
        graphics.listen = CONF.spice.server_listen
        guest.add_device(graphics)
        add_video_driver = True

重启相关服务,再从virt-manager去看,只开启了tls端口的spice

登录

用命令行登录:

 remote-viewer --spice-ca-file ca-cert.pem --spice-host-subject "C=CN, L=BeiJing, O=E3Cloud, CN=e3cloud Server" spice://127.0.0.1/?tls-port=5900

vv 文件如下:

[virt-viewer]
type=spice
host=10.10.0.100
tls-port=5900
password=6a37617677e73237f9b5ffe1468240ca
fullscreen=1
usb-filter=-1,-1,-1,-1,0
toggle-fullscreen=shift+f11
release-cursor=shift+f12
host-subject= C=CN,L=BeiJing,O=E3Cloud,CN=e3cloud Server
ca=-----BEGIN CERTIFICATE-----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\nOc4qEEFNTiGHz0SVpxusJ1YmthU0F7cnoMGxExuD\n-----END CERTIFICATE-----

其他:https://www.spice-space.org/docs/manual/manual.chunked/ar01s08.html

搞IT没有谷歌不行,推荐给大家个VPN,SHADOWSOCKS,每年花点小钱,远离坑害
shadowsocks下载

day walker
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
OpenStack安装部署管理常见问题解决方法
03-02
更多网络原理机制可以参考《OpenStack云平台的网络模式及其工作机制》。OpenStack平台有两种类型的物理节点,控制节点和计算节点。控制节点包括网络控制、调度管理、api服务、存储卷管理、数据库管理、身份管理和镜像管理等,计算节点主要提供nova-compute服务。控制节点的服务可以分开在多个节点,我们把提供nova-network服务的节点称为网络控制器。OpenStack的网络由nova-network(网络控制器)管理,它会创建虚拟网络,使主机之间以及与外部网络互相访问。OpenStack的API服务器通过消息队列分发nova-network提供的命令,这些命令之后会被nov
openstack
03-21
openstack
mitaka版本openstack虚拟化云桌面的实现(spice
热门推荐
吴业亮的专栏
07-05 1万+
作者:【吴业亮】云计算开发工程师 博客:http://blog.csdn.net/wylfengyujiancheng 什么是vdi VDI,英文全称Virtual Desktop Infrastructure,即虚拟桌面基础架构,正迅速成为一个热门词语。 VDI的概念很简单。它不是给每个用户都配置一台运行Windows XP 或Vista(后文统称为Windows XP)的桌面PC,而是通过
XEN VNC设置
zhang2010kang的专栏
06-24 1832
1使用VNC的优势         在使用VNC进行远程连接之前,我们尝试过使用windows自带的远程连接程序mstsc.exe。mstsc.exe由于是windows自带,所以当连接双方均是windows时,不需要使用任何的第三方工具,只要进行正确的设置,即可进行远程连接。但使用mstsc.exe程序存在很多的不足,主要是如下几个方面: ⑴连接的双方必须都是windows系统。 ⑵mst
简易CPU,模型机的制作
qq_42923636的博客
02-17 848
写在前面的一些话。 这是这学期的大实验,前期会叫你一个一个模块实现,然后仿真验收,我下面各个模块用自然语言说得很明白了,照着仿真就能完成各个模块它的功能实现的验证了。 此外,不想多说什么了,完全不会verilog就稍微学一下基础语法就可以上手了,如果直接抄别人代码,最后组合的时候出了问题就不能自己debug了,或者浪费更多时间debug。再然后就是最后组合设计的时候别搞太多层,不然后面会烦死。此外还有一些仿真的操作,上板子的操作,时序电路分析出现锁存器怎么改,这些杂七杂八的问题......网上一大堆资料
spice在桌面虚拟化的应用系列之三(USB映射实现,SSL加密,密码认证,多客户端支持)...
weixin_33850015的博客
02-26 699
本系列其它文章 spice在桌面虚拟化的应用系列之一(spice简介,性能优化等) spice在桌面虚拟化的应用系列之二(Linux平台spice客户端的编译安装,支持USB映射) 1.spice的USB重定向 1.1 介绍 使用usb重定向,在client上插入的U盘会被重定向到虚拟机. 其有两种实现方式,自动重定向(所有插入client的U盘都被重定向),或者手动选择需要重定...
Openstack各模块数据库用户名密码查找
wanghontao的博客
03-28 6642
Openstack各模块数据库用户名密码查找          (适用于kolla部署的openstack) 以neutron示例: 1.      dockerps | grep neutron 2.      dockerexec -it neutron_server /bin/bash docker exec -it c91619f92404/bin/bash 注意:
TLS流量的X509证书解析,从pcap获取证书并解析
jmhIcoding
08-31 2803
如何从TLS流里面提取证书,并解析证书的字段? __author__ = 'dk' #x509证书解析 try: from cryptography import x509 from cryptography.hazmat.backends import default_backend except BaseException as exp: raise BaseException('Please install cryptography library: pip3 install
openstack实例添加物理USB设备原理说明
胡铁威的博客
03-19 1632
openstack主机控制器,默认为USB1.0,我们不能直接将U盘,插到openstack实例上。需要修改程序改变加载的配置文件。 将USB类型改为以下型号。修改代码部分网上资料很多,修改原因,和控制器型号特此说明。 以下为网上找到的USB控制器型号。 以下为转载: 主机控制器(Host Controller)类型 • UHCI: Universal Host Contro...
openeuler上虚拟化使用问题
faxiang1230的专栏
05-09 1378
硬件:KP920 操作系统:openEuler-22.03-LTS-aarch64 虚拟化安装必要组件qemu, libvirtd,edk2-aarch64, virt-manager,之后找个UOS的镜像开始体验一番。 遇到几个小坑随手记录。 问题: 创建虚拟机时默认没有键盘、鼠标、触摸板设备,没有显示设备。 问题:只添加VNC设备而没有键盘鼠标设备时,通过virt-manager交互时,整个鼠标无法从virt-manager 出来了,任何的点击事件都无法触发。 解决方法:virt-manager
LTspice基础教程-029.加密仿真模型
gaoyong_wang的博客
04-04 3628
如果我们想共享我们的仿真模型,但是又不想别人进行逆向工程,我们可以给Spice模型进行加密。LTspice支持spice模型加密。 LTspice加密语法: XVIIx64.exe -encrypt <file path> 首先,打开命令行窗口,切换到LTspice安装目录: cd C:\Program Files\LTC\LTspiceXVII 然后输入加密指令,文档路径要写全...
OpenStack数据库文乱码问题.docx
10-30
OpenStack数据库文乱码问题.docx
Openstack安装过程遇到的问题汇总
01-20
一、Centos7安装Mitika问题 1.问题:在keystone安装阶段请求认证令牌出现错误 # vim admin-openrc export OS_PROJECT_DOMAIN_NAME=default export OS_USER_DOMAIN_NAME=default export OS_PROJECT_NAME=admin export...
openstack(kilo)安装部署文档(最小化安装,单机安装)
漫步
06-26 1万+
前言之前在centos上安装了一个版本,是使用的一键安装,devstack来安装的,这个安装后很多细节都不太清楚,所以决定手动走一边安装过程。 我这里使用的是一台物理机进行的安装,IP 为10.1.82.161,安装的是最小集合,只安装了keystone,nova,glance和dashboard 这里我用的FEDORA21进行的安装,参考的官方文档:
openstack 网络相关问题的解决
漫步
09-07 5968
使用的flatdhcp模式,虚拟机里IP分配不成功,因此开始解决此问题
制作openstack SPICE高性能Windows镜像
漫步
09-22 5201
前言使用virt-manager来制作windows镜像,为了提高性能,使用spice协议进行连接,并安装优化性能的驱动。
openstack虚拟机配置使用SPICE
漫步
09-11 4993
使用spice登录openstack的KVM虚拟机
openstack制作windows镜像
漫步
09-01 4590
制作windows7镜像,用于openstack使用 详细描述的具体步骤,以及注意事项等。
openstacknova
最新发布
06-07
Nova是OpenStack的一个重要组件,它提供了虚拟机管理、调度和计算资源的分配等功能。Nova通过一系列的组件来实现这些功能,包括Nova-API、Nova-Scheduler、Nova-Compute和Nova-Network等。 Nova-API是Nova的接口...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

day walker

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值