ADMIN Magazin Gestapelt - Schneller und sicherer mit RAID (Vorschau)

VNC und Spice
Virtualisierung
Protokoll, die Verwendung eines VNC-
Passworts ändert daran nicht viel.
# Datei /etc/libvirt/qemu.conf
...
vnc_listen = "127.0.0.1"
vnc_password = "strengGeheim"
Zur Steuerung der virtuellen Maschine
muss auf dem lokalen Rechner ein VNC-
Client ausgeführt werden. In der Regel
werden Sie dazu einfach das Konsolenfenster
des Virtual Machine Managers
verwenden. Alternativ kommen
aber auch die Programme »vncviewer«,
»vinagre« oder »virt‐viewer« infrage.
Standardmäßig verwendet die erste gestartete
virtuelle Maschine den Port 5900,
die nächste 5901 und so weiter. Wenn Sie
nicht mit dem Virtual Machine Manager
arbeiten, können Sie die Display-Nummer
mit dem Virsh-Kommando »vncdisplay«
ermitteln. Den dazu passenden Port
erhalten Sie, indem Sie 5900 addieren:
root# virsh list
Id Name
Status
‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
7 centos laufend
8 fedora laufend
root# virsh vncdisplay 8
:1
Der in den Virtual Machine Manager beziehungsweise
in den »virt‐viewer« inte-
Das Simple Protocol for Independent
Computing Environments (kurz Spice) ist
ein neues Protokoll, um das Grafiksystem
einer virtuellen Maschine über ein Netzwerk
effizient zu bedienen. Spice unterstützt
die Komprimierung von Bildern,
das Streaming von Videos, die Übertragrierte
VNC-Client überträgt Tastatureingaben
in Form von RAW-Codes. Sofern
im Host- und im Gastsystem dasselbe
Tastaturlayout eingestellt ist, werden Sie
keine Probleme mit dem Tastaturlayout
haben.
Andere VNC-Clients übertragen Tastatureingaben
hingegen immer gemäß dem
US-Layout. Um die daraus resultierenden
Probleme zu lösen, kann in der Detailansicht
des Virtual Machine Managers
(Dialogblatt »Anzeige«) das gewünschte
Tastaturlayout angegeben werden. Es ist
in der XML-Datei der virtuellen Maschine
gespeichert (Attribut »keymap«):
# in /etc/libvirt/qemu/vmname.xml
...
VNC im Netzwerk
Standardmäßig ist der VNC-Server von
»qemu‐kvm« nur auf dem KVM-Host
erreichbar. Um eine virtuelle Maschine
auf einem anderen Rechner zu bedienen,
gibt es verschiedene Möglichkeiten. Die
eine Variante besteht darin, den VNC-
Server an die Adresse 0.0.0.0 zu binden
(»vnc_listen=0.0.0.0« in »/etc/libvirt/
qemu.conf«). Diese simple Lösung soll-
ten Sie aus Sicherheitsgründen aber nur
in einem abgesicherten Testnetz einsetzen.
Unter Fedora und RHEL verhindert
zudem die standardmäßig aktive Firewall
VNC-Verbindungen von außen.
Port Forwarding
Wesentlich besser ist es, die Voreinstellungen
der VNC-Konfiguration zu belassen.
Um dennoch von einem externen
Rechner via VNC auf die virtuelle
Maschine zuzugreifen, verwenden Sie
SSH-Port-Forwarding. Diese Vorgehensweise
erspart auch Firewall-Änderungen
auf dem Host-Rechner. Die einzige Voraussetzung
besteht darin, dass auf dem
KVM-Host ein SSH-Server läuft. Diese Variante
kommt standardmäßig im Virtual
Machine Manager zur Anwendung, wenn
Sie virtuelle Maschinen steuern, die auf
einem anderen Host laufen.
Unter Fedora (merkwürdigerweise aber
nicht unter RHEL) wird SSH-Port-Forwarding
durch eine SELinux-Regel blockiert.
Wenn Sie also Fedora als KVM-Host einsetzen
und Ihre virtuellen Maschinen
auf einem anderen Rechner via SSH plus
VNC steuern möchten, müssen Sie auf
dem KVM-Host das Port-Forwarding explizit
erlauben. Dazu führen Sie dieses
Kommando aus:
root# setsebool ‐P sshd_forward_ports 1
Eine dritte Variante besteht darin, die
VNC-Kommunikation über die Konfigurationsdatei
»/etc/libvirt/qemu.conf« mit
TSL zu verschlüsseln. Das setzt allerdings
TSL-kompatible VNC-Viewer voraus.
Tipps zur richtigen Konfiguration finden
Sie unter [1].
Spice
Abbildung 1: Die Grafikeinstellungen im Virtual Machine Manager sind über zwei Dialogblätter verteilt.
Listing 1: Vesa-Konfiguration
01 Section "Device"
02 Identifier "device0"
03 Driver "vesa"
04 EndSection
www.admin-magazin.de
Admin
Ausgabe 06-2012
95