Это старая версия документа!

libvirt

Содержание

libvirt
TLS
Ссылки

libvirt — свободная реализация API, демон и набор инструментов для управления виртуализацией. Позволяет управлять гипервизорами Xen, KVM, а также VirtualBox, OpenVZ, LXC, VMware ESX/GSX/Workstation/Player, QEMU и другими средствами виртуализации, предоставляет возможность контролировать виртуальные машины по сети, расположенные на других компьютерах. Эти API широко используются в слоях гипервизоров при разработке облачных решений.

https://libvirt.org/

TLSSetup - Libvirt Wiki

libvirt: Remote support

Подключаемся к Libvirt, SPICE и VNC через TLS/SSL | umVirt.Ru

TLS

XCA — libvrt

Стандартный вариант создания ключей и сертификатов для работы по TLS libvrt — TLS

cakey.pem - Ключ центра сертификации, он должен храниться в надёжном месте.
cacert.pem - Сертификат центра сертификаци
serverkey.pem - Ключ сервера
servercert.pem - Сертификат сервера

Настройка клиента

<BOOKMARK:tlsclient>

Копирование файлов клиента

pki-libvirt_client.sh

#!/bin/bash
 
mkdir -p /etc/pki/libvirt/private/
mkdir -p /etc/pki/CA/
 
cp libvrt-ca.crt /etc/pki/CA/cacert.pem
cp libvrt-user.crt /etc/pki/libvirt/clientcert.pem
cp libvrt-user.pem /etc/pki/libvirt/private/clientkey.pem

Настройка сервера

<BOOKMARK:tlsserver> Копирование файлов на сервере

pki-libvirt_server.sh

#!/bin/bash
mkdir -p /etc/pki/libvirt/private/
mkdir -p /etc/pki/CA/
 
cp libvrt-ca.crt /etc/pki/CA/cacert.pem
cp libvrt-server.crt /etc/pki/libvirt/servercert.pem
cp libvrt-server.pem /etc/pki/libvirt/private/serverkey.pem
cp libvrt-crl.pem /etc/pki/CA/crl.pem

libvirtd

FAQ - Libvirt Wiki — 1.2.5 Will restarting the libvirt daemon stop my virtual machines?

Настройка

/etc/default/libvirtd

libvirtd_opts="-l"

/etc/libvirt/libvirtd.conf

listen_tls = 1
listen_tcp = 1
key_file = "/etc/pki/libvirt/private/serverkey.pem"
cert_file = "/etc/pki/libvirt/servercert.pem"
ca_file = "/etc/pki/CA/cacert.pem"
crl_file = "/etc/pki/CA/crl.pem"

Минимальные изменения:

/etc/libvirt/libvirtd.conf

listen_tls = 1
listen_tcp = 1

Перезапуск демона:

service libvirtd restart

Проверка:

netstat -lntp | grep libvirtd

Пример вывода:

tcp        0      0 0.0.0.0:16509           0.0.0.0:*               LISTEN      5594/libvirtd       
tcp        0      0 0.0.0.0:16514           0.0.0.0:*               LISTEN      5594/libvirtd       
tcp6       0      0 :::16509                :::*                    LISTEN      5594/libvirtd       
tcp6       0      0 :::16514                :::*                    LISTEN      5594/libvirtd