通过noVNC和websockify连接到QEMU/KVM

开源项目 QEMU、KVM、libvirt 实现了创建虚拟机,启动虚拟机,监控虚拟机。我们解决了从无到有的问题,这时就该考虑从有到优了。尽管我们能使用 SSH 的方式来登录使用虚拟机,但这种方式从感觉欠缺点什么,用户往往会更喜欢绚丽多彩的东西。

事实上 VNC 的客户端很多,诸如 VNC Viewer,TightVNC,RealVNC 等。然而我们需要的是 web 版的 VNC,自然而然我选择了 noVNC。

noVNC:HTML5 技术的 VNC 客户端

noVNC 是一个可以运行在众多浏览器的 HTML5 VNC 客户端,包括手机浏览器(iOS 和 Android)。

诸如 Ganeti Web Manager,OpenStack,OpenNebula,LibVNCServer 和 ThinLinc 等众多厂商、项目和产品整合了 noVNC。

VNC Server

除非你使用的 VNC Server 支持 WebSockets 连接(比如 x11vnc/libvncserver、QEMU 或者 MobileVNC),否则你需要使用一个 WebSockets 和 TCP socket 之间相互转换的代理。

幸运的是 noVNC 提供了一个代理器 websockify。

尽管官方说 QEMU 支持 WebSockets 连接,但我仍然不知道如何在不使用 websockify 的情况下连接到 QEMU,如果有知道的朋友,分享出来吧。

Linux 系统环境

物理机系统版本:Windows7 64 位

宿主机:VMware 12.1.0
宿主机系统版本:Ubuntu 16.04 64 位

客户机(虚拟机):QEMU 2.5.0 libvirt 1.3.1
客户机(虚拟机)系统版本:Deepin 15.4 64 位

一眼看去,可能关系很复杂,其实很简单,因为笔者比较穷,只有一台物理台式机,宿主机是在该物理机上通过 VMware 虚拟出来,而客户机(虚拟机)是在宿主机上通过 QEMU、KVM 虚拟出来的。

测试环境的拓扑关系

宿主机有两台,分别命名为 Node1 和 Node2,这两台宿主机的系统环境完全一致。Node1 的 IP 为:192.168.10.231,Node2 的 IP 为:192.168.10.230。客户机(虚拟机)有一台,名为 Guest1,位于宿主机 Node1,也就是 VNC Server 位于 Node1。要用 noVNC 连接的远程机器就是客户机(虚拟机)Guest1,noVNC 和 websockify 位于宿主机 Node2。它们之间的关系如图所示。

由于 QEMU、KVM 本身对 VNC Server 支持很友好,因此不需要额外在宿主机 Node1 安装 tightvnc 或 x11vnc 。如果你要连接的机器没有 VNC Server,可直接安装 tightvnc 和 x11vnc 的任意一个。

准备工作

修改 /etc/libvirt/qemu.conf 配置文件。

sudo gedit /etc/libvirt/qemu.conf

打开后有如下文件内容(仅截取部分)展示。

# Master configuration file for the QEMU driver.
# All settings described here are optional - if omitted, sensible
# defaults are used.

# VNC is configured to listen on 127.0.0.1 by default.
# To make it listen on all public interfaces, uncomment
# this next option.
#
# NB, strong recommendation to enable TLS + x509 certificate
# verification when allowing public access
#
#vnc_listen = "0.0.0.0"

# Enable this option to have VNC served over an automatically created
# unix socket. This prevents unprivileged access from users on the
# host machine, though most VNC clients do not support it.
#
# This will only be enabled for VNC configurations that do not have
# a hardcoded 'listen' or 'socket' value. This setting takes preference
# over vnc_listen.
#
#vnc_auto_unix_socket = 1

# Enable use of TLS encryption on the VNC server. This requires
# a VNC client which supports the VeNCrypt protocol extension.
# Examples include vinagre, virt-viewer, virt-manager and vencrypt
# itself. UltraVNC, RealVNC, TightVNC do not support this
#
# It is necessary to setup CA and issue a server certificate
# before enabling this.
#
#vnc_tls = 1
......

将 vnc_listen = “0.0.0.0” 解禁,如图所示。

默认情况下 VNC 监听 127.0.0.1,修改为 0.0.0.0 后适应性更高,如果你使用 libvirt 创建虚拟机,那么虚拟机 xml 配置文件可以向下面这样添加一个 graphics。

        <graphics type='vnc' autoport='yes' keymap='en-us'
                  listen='0.0.0.0'/> 

取得客户机(虚拟机)Guest1 的端口号

获得客户机(虚拟机)Guest1 的 port(端口号),有两种方式获得,可通过调用 libvirt Java api 获得客户机(虚拟机)Guest1 的 xml 配置描述文件,然后从中取出 port,还可通过 virsh 控制台命令获得端口号,命令如下。

sudo virsh vncdisplay kvmdemo

kvmdemo 是客户机(虚拟机)Guest1 的名称,得到的结果如图所示。

自动分配的 VNC 端口(自增)默认从 5900 开始,因此 kvmdemo 的 port 是 5900。

noVNC 快速开始

首先下载 noVNC,可通过 git 下载,也可到官网下载压缩包。
按照前面的拓扑关系,我们将 noVNC 下载到宿主机 Node2。

sudo git clone https://github.com/novnc/noVNC.git

下载完毕后,进入 noVNC 文件夹,执行如下命令。

sudo ./utils/launch.sh --vnc 192.168.10.231:5900

注意: 这里填写的是宿主机 Node1 的 ip,而不是客户机(虚拟机)Guest1 的 ip,VNC Server 通过端口映射的方式找到位于宿主机上的客户机(虚拟机)。

如果不指定端口,noVNC 默认的访问端口是 6080。执行过程中,noVNC 会去 GitHub 下载 websockify,如果觉得下载太慢,可先将 websockify 下载下来后,解压到 utils 文件夹下。
如此,一个 noVNC 就启动起来了。

oh,it’s work.

现在你可以在浏览器输入:

http://192.168.10.230:6080/vnc.html?host=192.168.10.230&port=6080

就可以访问到客户机(虚拟机)Guest1 了。

我们来梳理一下用户发出请求到得到响应的流程:

PC Chrome(192.168.10.100) => Node1(192.168.10.230:6080) => websockify => Node2(192.168.10.231:5900) => websockify => Node1 => Chorme

PC Chrome 请求 Node1,websockify 将请求转发到指定的 Node2(192.168.10.231:5900),Node2收到请求返回 TCP socket 响应,在 Node1 websockify 代理器这里被转成 Web socket 的响应。

整个过程 websockify 代理器是关键,noVNC 可以被放在浏览器端。从流程来看 websockify 可以被部署在任何地方,下一节就将实现 websockify 与 noVNC 分离。

noVNC 进阶,独立 websockify 实现一个端口,多个代理

上一节,我们已经通过 noVNC 连上了 KVM,然而这种连接方式并不实用。在实际应用中,不可能为每台虚拟机都架一个代理,这种方式对端口号的消耗也是巨大的,同时 noVNC 通常是集成在前端页面。那有没有可能仅开一个端口,而实现代理多台虚拟机呢,答案自然是可以。

一个端口,多个代理原理,引入 token 文件

在 websockify 项目的 Wiki 主页介绍了实现一个端口,多个代理的方法。
实现的原理就是 websocketproxy.py 这个代理从一个指定的 token 目录读取 token 文件,一个 token 文件通常对应一台客户机(虚拟机)。token文件内容形如 token1:host1:port1 ,这里的 token1 是全局唯一的一个字符串标识,host1 是客户机(虚拟机)所在的宿主机的 ip 地址,本例中就是 Node1 的 ip,而 port1 是客户机(虚拟机) VNC Server 的端口号,本例中就是 Guest1 的 VNC Server 的端口号。因此,本例中名为 generic 的客户机(虚拟机)Guest1 的 token 文件内容为: generic:192.168.10.231:5901

注意: 一个 token 文件可以对应一台客户机(虚拟机),一个 token 文件也可以对应多台客户机(虚拟机)。为了方便编程,通常是一对一的关系。

分离 noVNC 与 websockify

在 Github 上 noVNC 和 websockify 本来就是独立的两个项目。

首先下载 websockify,可通过 git 下载。
按照前面的拓扑关系,我们将 websockify 下载到宿主机 Node2。

sudo git clone https://github.com/novnc/websockify.git

下载完毕后,进入 websockify 文件夹,将上面的 generic 的 token 文件移动到 ./token/目录下,然后执行如下命令。

sudo python2.7 ./run --token-plugin TokenFile --token-source ./token/ 6080

这里的 6080 就是 websockify 代理器的端口号。

现在可以打开 noVNC 的 vnc_lite.html,并在末尾加上
?host=192.168.10.230&port=6080&path=websockify/?token=generic 就可以访问远程客户机(虚拟机)Guest1 了。

如果要连接其他客户机(虚拟机)只需往 ./token/ 目录下添加对应的 token 文件,然后改变 url 的 token 就可以通过 noVNC 访问客户机(虚拟机)。

容器化 websockify

微服务现在是一个很火的概念,提到微服务,自然少不了 docker。下面就提供一种将 websockify 去状态并容器化运行的方案。

1.编写 Dockerfile 文件

 FROM python

 MAINTAINER kyyee "kyyee.com"

 RUN apt-get update -y

 RUN apt-get upgrade -y

# Installing the fundamental package for scientific computing with Python: numpy
 RUN apt-get install -y python-numpy

# clean the backup
 RUN apt-get clean

# Copy the files into the container
 ADD ./websockify/ /websockify/

# start the java application
 CMD ["python2.7", "/websockify/run", "--token-plugin", "TokenFile", "--token-source", "/websockify/token/", "6080"]

# usage volume
# VOLUME ["/websockify/token/"]

2.生成 docker 镜像

sudo docker build -t websockify .

3.运行 docker 镜像

sudo docker run -p 6080:6080 --name websockify -it websockify -v /home/kyyee/websockify/token/:/websockify/token/

-v 为 docker 挂载命令,: 前是宿主机上的目录,: 后是 docker 容器中的目录。这里将 /websockify/token/ 目录挂载到宿主机上的 /home/kyyee/websockify/token/ 目录,在 /home/kyyee/websockify/token/ 目录操作与在 /websockify/token/ 目录操作没有区别。

可能存在的问题

某些情况下,你可能连不上 VNC Server,如图所示。

这个时候请查看启动 websockify 的控制台,如果是 handler exception: [Errno 111] Connection refused,通常是由于远端要连接的宿主机 ip 或映射 port 填写错误,或者你远端要连接的客户机(虚拟机)压根没开机。如果没有错误提示,但仍然无法连接,那么可能是远端要连接的客户机(虚拟机)在 virt-manager 或者其他工具中已经打开。

未完待续,后续将讲解 noVNC 加密传输。

你可能感兴趣的:(linux,libvirt)