KVM集群远程控制方案
1、API角色上的操作(管理证书)
创建临时目录,以将文件和更改保存到其中:
mkdir /opt/cert_file
cd /opt/cert_file
使用 openssl 命令创建 2048 位 RSA 密钥:
openssl genrsa -out cakey.pem 2048
使用该密钥针对本地 CA 创建自签名证书:
这里参数: 按需修改:/C=CN/L=GDFS/O=EFLY/CN=KVM CA
openssl req -new -x509 -days 1095 -key cakey.pem -out cacert.pem -sha256 \
-subj "/C=CN/L=GDFS/O=EFLY/CN=KVM CA"
检查 CA 证书:
openssl x509 -noout -text -in cacert.pem
创建客户端和KVM服务端的证书
1、创建密钥:
openssl genrsa -out serverkey.pem 2048
openssl genrsa -out clientkey.pem 2048
为服务器创建证书签名请求。
这里默认是用代理映射端口, 所以CN需要设置为集群名(IP也可以), 而不是KVM的hostname
openssl req -new -key serverkey.pem -out serverkey.csr \
-subj "/C=CN/O=EFLY/CN=${KVM}"
exp: openssl req -new -key serverkey.pem -out serverkey.csr \
-subj "/C=CN/O=EFLY/CN=KVM_PROXY"
为客户机创建证书签名请求:
openssl req -new -key clientkey.pem -out clientkey.csr \
-subj "/C=CN/O=EFLY/OU=virtualization/CN=root"
创建客户机和服务器证书
openssl x509 -req -days 3650 -in clientkey.csr -CA cacert.pem -CAkey cakey.pem \
-set_serial 1 -out clientcert.pem
openssl x509 -req -days 3650 -in serverkey.csr -CA cacert.pem -CAkey cakey.pem \
-set_serial 94345 -out servercert.pem
检查密钥:
openssl rsa -noout -text -in clientkey.pem
openssl rsa -noout -text -in serverkey.pem
检查证书:
openssl x509 -noout -text -in clientcert.pem
openssl x509 -noout -text -in servercert.pem
2、服务端
1、将认证中心 (CA) 证书 cacert.pem 文件复制到 /etc/pki/CA/cacert.pem
scp [proxy_ip]:/path/cacert.pem /etc/pki/CA/cacert.pem
2、创建 /etc/pki/libvirt 目录。将 servercert.pem 服务器证书文件复制到 /etc/pki/libvirt/servercert.pem。创建 /etc/pki/libvirt/private 目录。将 serverkey.pem 服务器密钥文件复制到 /etc/pki/libvirt/private/serverkey.pem 目录。确保只有 root 用户才能够访问专用密钥。
mkdir /etc/pki/libvirt
scp [proxy_ip]:/path/servercert.pem /etc/pki/libvirt/.
mkdir /etc/pki/libvirt/private
scp [proxy_ip]:/path/serverkey.pem /etc/pki/libvirt/private/.
chmod -R o-rwx /etc/pki/libvirt/private
验证这些文件是否已正确放置:
find /etc/pki/CA/*|xargs ls -l
ls -lR /etc/pki/libvirt
3、配置libvirt
生成 /etc/default/libvirtd 文件和 /etc/libvirt/libvirtd.conf 文件的副本。
编辑 /etc/default/libvirtd 文件
# Start libvirtd to handle qemu/kvm:
start_libvirtd="yes"
# options passed to libvirtd, add "-l" to listen on tcp
- libvirtd_opts=""
+ libvirtd_opts="-l"
ps:- 是修改前内容, + 是修改后内容
4、 编辑 /etc/libvirt/libvirtd.conf 文件,并在 libvirtd.conf 文件中使用 tls_allowed_dn_list 伪指令配置一组允许的主题。以下示例显示原始文件中的更改。它将可接受的客户机证书限制为具有 O=IBM,OU=virtualization 值的证书,而系统可能会对国家或地区 (C) 和公共名 (CN) 分配任何值。主题中字段的顺序必须与您创建证书时使用的顺序相同。
- #tls_allowed_dn_list = ["DN1", "DN2"]
+tls_allowed_dn_list = ["C=*,O=EFLY,OU=virtualization,CN=*"]
- listen_tcp = 0
+ listen_tls = 1
+ tls_port = "16514"
重新启动 libvirtd 守护程序服务,以使更改生效:
$ /etc/init.d/libvirtd restart
Stopping libvirtd daemon: [ OK ]
Starting libvirtd daemon: [ OK ]
3、客户端操作
1、 将认证中心 (CA) 证书 cacert.pem 从 PowerKVM 主机复制到管理站 /etc/pki/CA/ 目录。请勿变更文件名。
scp [proxy_ip]:/path/cacert.pem /etc/pki/CA/
2、将客户机证书 clientcert.pem 复制到 /etc/pki/libvirt/ 目录,并将客户机密钥 clientkey.pem 从 PowerKVM 主机复制到 /etc/pki/libvirt/private/ 目录。使用缺省文件名称,并确保只有 root 用户才能够访问专用密钥。
mkdir -p /etc/pki/libvirt/
scp [proxy_ip]:/path/clientcert.pem /etc/pki/libvirt/.
mkdir /etc/pki/libvirt/private
scp [proxy_ip]:/path/clientkey.pem /etc/pki/libvirt/private/.
chmod -R o-rwx /etc/pki/libvirt/private
3、验证这些文件是否已正确放置:
ls -lR /etc/pki/libvirt/
4、设置hosts
这里主要是libvirt tls远程需要域名解析,与上面证书的CN值有关
vim /etc/hosts
10.10.250.35 KVM_PROXY
4、设置代理
可以使用nginx 或者 haproxy等工具,如haproxy
apt-get install haproxy
vim /etc/haproxy/haproxy.cfg
listen kvm-proxy-35
bind 0.0.0.0:16515
mode tcp
use_backend kvm-tls-35
backend kvm-tls-35
mode tcp
server kvm-tls-35 10.10.250.35:16514
启动haproxy
service haproxy restart
验证连通
root@KvmApiServer:~# virsh -c qemu+tls://KVM_PROXY:16515/system hostname
ubuntu-kvm35
返回正常, 则完成远程
5、Sasl认证
(1)libvirt sasl配置在/etc/sasl2/libvirt.conf,Tls是tcp的加密传输协议,所以mech_list:需要设置成digest-md5。
vim /etc/sasl2/libvirt.conf
- #sasldb_path: /etc/libvirt/passwd.db
+ sasldb_path: /etc/libvirt/passwd.db
- mech_list: gssapi
# mech_list: gssapi
mech_list: digest-md5 # mandatory for TCP connections
(2)创建用户
root@ubuntu-kvm35:/etc/libvirt# saslpasswd2 -a libvirt efly
Password:
Again (for verification):
(3)指定密码库
root@ubuntu-kvm35:/etc/sasl2# sasldblistusers2 -f /etc/libvirt/passwd.db
efly@ubuntu-kvm35: userPassword
(4)重启libvirtd
systemctl restart libvirtd
(5)测试连接
root@KvmApiServer:~# virsh -c qemu+tls://KVM_PROXY:16515/system hostname
Please enter your authentication name: efly
Please enter your password:
ubuntu-kvm35