远程访问双层嵌套Openstack云下的Windows虚机(by quqi99)

最新推荐文章于 2024-04-04 13:33:34 发布
最新推荐文章于 2024-04-04 13:33:34 发布
阅读量1.2k 收藏
点赞数
分类专栏: OpenStack Networking 文章标签: Powershell rdp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quqi99/article/details/78662647
版权

版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (http://blog.csdn.net/quqi99)

问题

遇到这么一个奇葩组合问题,一个Bug只在Windows虚机上出现,实验环境是远程OpenStack云上再嵌套OpenStack云上提供的一个Windows虚机,两个OpenStack云都采用内网IP,现在的问题是如何远程登录到Windows虚机中。环境如下:

  • Bastion中转机,是由Underlying OpenStack提供的一台虚机,它的floating ip是10.230.65.8,可通过VPN连接到该IP。众所周知的原因,VPN连接是容易断的。所以平时是先ssh连接到VPS,再在VPS启动VPN连接这台机器的。由于平时都是使用命令行所以没遇到问题,但是现在是采用RDP图形化界面连接Windows虚机的,那么网速就跟不上了。无奈,只能继续将VPN创建在本机上。
  • Tenant OpenStack - 最上层的OpenStack是由Underlying OpenStack提供的虚机创建的。上层Tenant OpenStack的为这台Windows虚机提供的浮动IP是10.5.150.2
  • 如果我们将Windows虚机创建在Underlying OpenStack上,那么它可以分到10.230网段的IP,那么问题就简化了,登录VPN打通网络后直接通过remmina远程连接即可。但由于Underlying OpenStack我无权限控制,Windows虚机创建在Tenant OpenStack上,那样问题就复杂化了。 
First, glance charm need to add: constraints: "mem=1G root-disk=70G"

source ~/novarc && glance image-download --file windows2012R2_virtio.raw --progress 31dd4e9f-ccd3-4c57-b10e-6b5e99366240
source novarc && glance image-create --name windows2012R2 --file /bak/windows2012R2_virtio.raw --visibility public --progress --container-format bare --disk-format raw
nova keypair-add --pub-key ~/.ssh/id_rsa.pub mykey
nova flavor-create myflavor auto 3200 45 1 
openstack server create --wait --image windows2012R2 --flavor myflavor --key-name mykey --nic net-id=dd269a94-5b76-4e24-8046-4d377fa3be5f --min 1 --max 1 i1
nova floating-ip-create
nova floating-ip-associate i1 10.5.150.2
./tools/sec_groups.sh

访问Tenant OpenStack的Horizon界面

这个简单,登录VPN后,再在本机运行sshuttle命令即可访问horizon界面。

sshuttle -D -r ubuntu@10.230.65.8 10.5.0.0/24
http://10.5.0.52/horizon

通过noVNC访问Tenant OpenStack提供的Linux虚机

Linux虚机要是通过命令行来访问,那就没这些问题了。若要图形化访问,可以采用novnc方案。
1, 在控制节点上安装下列四个组件。计算节点不需要安装包。

sudo apt-get install nova-consoleauth novnc python-novnc nova-novncproxy
sudo service nova-consoleauth restart
sudo service nova-novncproxy restart
sudo service libvirt-bin restart

2, 在控制节点和计算节点上同时配置:

vnc_enabled = True
novnc_enabled = True
vncserver_proxyclient_address=10.5.0.49
vncserver_listen=0.0.0.0
novncproxy_base_url=http://10.5.0.43:6080/vnc_auto.html

3, 通过下列命令就可以获得novnc连接并访问了:

nova get-vnc-console i1 novnc
sshuttle -D -r ubuntu@10.230.65.8 10.5.0.0/24

上面命令相当于手动打开虚机的vnc支持:

sudo virsh edit i1
   <graphics type='vnc' port='-1' autoport='yes' listen='192.168.99.124' passwd='password' keymap='en-us'/>
sudo virsh shutdown i1 && sudo virsh start i1
#sudo virsh -c qemu+ssh://hua@node1/system vncdisplay i1
sudo virsh vncdisplay i1
vncviewer 192.168.99.124:1

如果本机开了VPN后通过’ssh -X’远程连接中转机,再通过上面的vncviewer也是可以连接Linux虚机的。
但是该Windows虚机不支持VNC,但它默认启动了RDP。同理,我们也可以本机开了VPN后通过’ssh -X’远程连接中转机,再通过remmina访问(或者采用rdesktop命令行方式 ),但是这种方式奇慢无比,于是有了本文的探讨。

通过tunnel+remmina访问Tenant OpenStack提供的Windows虚机

设想的方案是通过如果的ssh正向隧道方式,本机上执行如下命令,本机的13389端口通过ssh server 10.230.65.8映射到远程的10.5.150.2:3389上。

ssh -p 22 -L localhost:13389:10.5.150.2:3389 ubuntu@10.230.65.8 -N -v
#sudo rdesktop 127.0.0.1:13389
sudo rdesktop -z -r sound:local -g workarea -D -K -a 16 -u Administrator -p password 127.0.0.1:13389

但是发现不好使,原因在于在中转机10.230.65.8上都无法运行telnet 10.5.150.2 3389’命令。
VNC的5900-5910这些端口与RDP的3389端口似乎还有点不一样,5900-5910是运行虚机的物理机上的端口,而3389是Windows虚机的端口

所以第一步,应该将Windows虚机所在的物理机的Security group规则打开,这个得在Tenant OpenStack环境中执行如下命令:

nova secgroup-add-rule default tcp 3389 3389 0.0.0.0/0
nova secgroup-add-rule default udp 3389 3389 0.0.0.0/0
#secgroup=${1:-`openstack security group list --project admin| grep default| awk '{print $2}'`}
#openstack security group rule create $secgroup --protocol tcp --remote-ip 0.0.0.0/0 --dst-port 3389 --project admin

#计算节点上通过下列命令验证:
$ sudo iptables-save |grep 3389
-A neutron-openvswi-i2f32d9bf-6 -p tcp -m tcp --dport 3389 -j RETURN
-A neutron-openvswi-i2f32d9bf-6 -p udp -m udp --dport 3389 -j RETURN

#网络节点上继续通过下列命令验证通过:
sudo ip netns exec qrouter-d07093c5-f8b3-49c4-9f35-2f43a618b588 telnet 192.168.21.2 3389

第二步,要想通过192.168.21.2的floating ip (10.5.150.2)访问,还得将Tenant OpenStack的FWaaS服务中的3389端口打开。

neutron firewall-rule-create --protocol tcp --destination-port 80 --action allow --name tcp_3389
neutron firewall-rule-create --protocol udp --destination-port 80 --action allow --name udp_3389
neutron firewall-policy-create --firewall-rules "tcp_3389 udp_3389" policy_3389
neutron firewall-create policy_3389 --name myfirewall
sudo ip netns exec qrouter-d07093c5-f8b3-49c4-9f35-2f43a618b588 iptables-save |grep 3389

#也可以通过下列命令直接手动添加:
sudo ip netns exec qrouter-d07093c5-f8b3-49c4-9f35-2f43a618b588 iptables -A neutron-vpn-agen-iv49ecd7359 -p tcp -m tcp --dport 3389 -j ACCEPT
sudo ip netns exec qrouter-d07093c5-f8b3-49c4-9f35-2f43a618b588 iptables -A neutron-vpn-agen-iv49ecd7359 -p udp -m udp --dport 3389 -j ACCEPT
sudo ip netns exec qrouter-d07093c5-f8b3-49c4-9f35-2f43a618b588 iptables -A neutron-vpn-agen-ov49ecd7359 -p tcp -m tcp --dport 3389 -j ACCEPT
sudo ip netns exec qrouter-d07093c5-f8b3-49c4-9f35-2f43a618b588 iptables -A neutron-vpn-agen-ov49ecd7359 -p udp -m udp --dport 3389 -j ACCEPT

#添加成功后在网络节点上通过下列命令验证成功:
telnet 10.5.150.2 3389

第三步,要想在中断机上也能成功运行’telnet 10.5.150.2 3389’, 由于中断机和Tenant OpenStack的网络节点都是由Underlying OpenStack提供的虚机,所以还需要在Underlying OpenStack中的Security Group设置3389支持。具体命令可以参考第一步,但由于我没有Underlying OpenStack的权限,所以这步做不了,此路不通,做罢,但理论应该是对的。

通过端口映射的方案访问Tenant OpenStack提供的Windows虚机

理论上也可以在中转机上将3389端口映射到Windows虚机的3389端口解决,但同样由于我没有Underlying OpenStack的权限无法解决在中转机上’telent 10.5.150.2 3389’,所以此方案也无法测试。

iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 10.10.10.7:3389
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT

最后的方案

没了Underlying OpenStack的权限,这个实验似乎做不下去了,还剩下两个手段:

  • 一个使用Underlying OpenStack环境的tenant用户为Tenant OpenStack的网络节点再分配一个10.230打头的floating ip (如10.230.65.118),因为Tenant Network上的网络节点上是可以运行’telent 10.5.150.2 3389’的,同时,10.230的IP也可以在登录VPN后直接访问。但是10.230.65.118代表的网络节点是由Tenant OpenStack提供的,所以从本机登录时应该从中转机拷贝~/.local/share/juju/ssh/juju_id_rsa。这种方式目前已经测试成功。
scp ubuntu@10.230.65.8:/home/ubuntu/.local/share/juju/ssh/juju_id_rsa /home/hua/.ssh/
#ssh -i ~/.ssh/juju_id_rsa ubuntu@10.230.65.118
ssh -i ~/.ssh/juju_id_rsa -p 22 -L localhost:13389:10.5.150.2:3389 ubuntu@10.230.65.118 -N -v
#sudo rdesktop 127.0.0.1:13389
sudo rdesktop -z -r sound:local -g workarea -D -K -a 16 -u Administrator -p password 127.0.0.1:13389

-在Windows虚机中通过下列命令打开Powershell Remote, 再通过pywinrm库(https://github.com/diyan/pywinrm)通过命令行或程序(https://gist.github.com/vtapia/c4a87289298c73b9f75afcf36ed6a89b)操作Windows,这种方式蛮麻烦。

Set-ExecutionPolicy -ExecutionPolicy Bypass -Force
Enable-PSRemoting -force
Set-Item WSMan:\localhost\Client\TrustedHosts * -force
winrm set winrm/config/service/auth '@{Basic="true"}'
winrm set winrm/config/service '@{AllowUnencrypted="true"}'
restart-Service winrm
quqi99
关注
专栏目录
用VNC 客户端如何查看openstack 创建的虚拟机
jackny9的专栏
03-19 7014
在云计算的环境中,实际上更多的时候是使用VNC 工具去查看云系统中的VM。以下记录如何查看的方法:  控制节点查看虚拟机的ID(libvird 的,非instanc_id) 找到需要连接的虚拟机的ID号,查看其中暴露的端口: 然后在VNC 查看工具中输入相关连接: 点击Connect 后就可以连接上openstack 创建的虚拟机。 如果觉得麻烦,也可以直接通
如何实现通过本地远程来连接OpenStack中的windows虚机
fwejoker的博客
06-02 1090
注:首先说明一下我的OpenStack是R版的 最近在OpenStack上搭建了一个window10的虚机,每次登陆都要通过这两种方式进行登陆 方法一:通过OpenStack的dashboard界面,进入window10虚机的控制台。 方法二:不知道你们什么时候用这条命令,先是nova list 看下虚机的ID,在用openstack console url show ID 复制给出的url,在浏览器也可以连接,但是这个有一定的时间限制,时间长了就会断开连接,而且给的URL每次都会更新,想再次连接就得
openstack允许虚拟机开放内部地址段访问
skyroach
05-12 809
描述 正常在使用时,openstack虚拟机中docker容器无法被外部网络直接进行访问,即不能直接访问docker0网段172.17.0.0/16。在neutron port中添加了允许docker0网段通信后,即可以在外部网络中直接进行访问docker容器IP地址。前提需要在交换机中添加到172.17.0.0/16的路由指向openstack虚拟机地址。 1.查看虚拟机网络port端口,找到对应虚拟机IP地址,修改allowed_address_pairs参数,放行地址通信 [root@contro.
VCenter中嵌套openstack VM不能ping通外部网络问题解决办法
wys3688的专栏
08-09 469
   根本原因在于,我们使用openstack创建的snat上面的外网口对dvs01来说是不被承认的, 如果将伪传输设置为拒绝的话, ESX会将正在传输的报文mac和所有适配上有效的mac进行比对,发现有不一致的报文会进行丢弃。这里何谓有效?肯定是ESX自己分配的mac地址是有效的,而openstack分配的mac地址ESX感知不到,也因此认为是无效的。   这是因为端口组的配置导致的,将Op...
vnc客户端连接openstack实例
weixin_34365417的博客
03-17 1290
2019独角兽企业重金招聘Python工程师标准>>> ...
java实现远程桌面_?启迪云技术栈 |OpenStack远程桌面访问概述及安全机制初探
weixin_39938165的博客
11-24 496
Openstack面板或命令行提供两种方式来对客户虚拟机进行远程桌面访问,VNC控制台和SPICE HTML5。VNC控制台Openstack提供一个组件nova-novncproxy,它允许用户通过浏览器或vnc客户端来访问虚拟机。通常,通过websocket来访问虚拟时,VNC控制台工作步骤如下:1. 用户通过VNC控制台发送一个URL请求,URL的格式是:http://ip:port/?to...
centos7部署OpenStack云平台
01-27
CentOS7上部署OpenStack云平台是一项复杂而重要的任务,涉及到多个组件的安装和配置。OpenStack Compute,也称为Nova,是OpenStack的核心组件,负责处理计算资源的生命周期,如启动、停止和管理虚拟机实例。以下是...
IPsec VPN嵌套
weixin_43082470的博客
03-25 562
原先GRE 的Tun口配置的源地址和目的地址是公网的地址,但是此时,这个地方的地址是不是公网地址无所谓。因为还要IPsec封装做转发。一般这个时候配置的是环回口(本地和对对端)(是不是环回口不重要,只是为了方便识别和规划)IPsec 的感兴趣流ACL 应当写Tun的环回口的源地址和目的地址,因为这样做是为了能够把GRE封装之后的包抓到IPsec做二次封装IPsec的策略应当下发在G0/0口(公网口)因为:IPsec是最后的公网封装,必须得保证,策略是下发在公网口的。
手机作为显示器及键鼠控制电脑棒(by quqi99)
技术并艺术着
04-14 4811
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (作者:张华 发表于:2019-04-14) 买了一款Intel compute stick core m3, 具有HDMI接口输出音频, 但如何使用手机临时地作为显示器及键盘鼠标控制它呢? anydesk windows上有一款叫spacedesk的软件, 电脑和手机上都安装它之后, 在同一个局域网可以很方便...
Windows Server2008 R2 设置允许多个人远程连接桌面
热门推荐
永恒の_☆
01-21 2万+
添加Windows Server2008 R2 新服务器之后 很多人都要远程连接服务器进行操作,但是默认都是只允许一个人去远程,这样很不方便。我在以前设置过,但是没有记录所以很快就忘记了。 具体操作其实很简单: 1、在桌面 --> 管理工具 --> 远程桌面服务中,选择远程桌面会话主机配置,具体如下: 首先,在编辑设置--> 限制每个用户只能进行一个会话中点击,右键属性,打开编辑对话框,
IPSec VPN 高级应用
最新发布
Jun_share
04-04 1232
公网上架设多层隧道,整合不同隧道的优点,弥补缺点。
私有云上创建与配置虚拟机
huangy_u的博客
05-18 535
点击“下一项” 点击“下一项” 点击提交。 点击网络-路由-新建路由 点击创建路由即可。 点击网络-网络拓扑。 点击“添加接口”按钮,在对话中选择子网。 ...
让KVM虚机能使用音箱与麦克风(by quqi99)
技术并艺术着
08-02 5625
作者:张华  发表于:2014-08-02版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明(http://blog.csdn.net/quqi99 )
J版OpenStack spice云桌面加入声卡设备
湛岚的博客
11-03 2260
J版OpenStack spice云桌面加入声卡设备
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

quqi99

你的鼓励就是我创造的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值