说明

TLS(Transport Layer Security Protocol),即安全传输层协议,其核心是加密两台计算机之间的通信。
libvirt中使用TLS,可以实现libvirt的安全加密。可以保证数据传输的安全性、完整性。
OpenStack环境中,Libvirt默认采用TCP方式,会监听16509端口。这种方式是不安全的,因此建议采用TLS安全连接的方式。配置TLS最重要的步骤,是证书的生成及管理。证书的生成可以在任意节点进行。

证书的生成

证书的生成主要有以下几步:

生成中央证书颁发机构证书。只需生成一次,所有节点的服务端证书及客户端证书,均基于此生成。

生成服务端证书及私钥。每个计算节点均需要配置与该计算节点对应的服务端证书及私钥,需生成多次。

生成客户端证书及私钥。每个计算节点均需要配置与该计算节点对应的客户端证书及私钥,需生成多次。

证书分发。需将中央证书颁发机构证书、与计算节点对应的服务端证书与私钥、与计算节点对应的客户端证书与私钥,分别复制到对应的计算节点目录上。

证书生成工具安装,很多服务器默认已经安装

yum install gnutls-utils

CA证书生成

mkdir /root/pki

cd /root/pki

#将密钥保存到cakey.pem中

certtool --generate-privkey > cakey.pem

vi ca.info

cn = inspur

ca

cert_signing_key

expiration_days = 700

#注意这里的的cn填写你组织的名字(Name of your organization)

#然后这里的expiration_days填写证书过期的日期,如果没有的话默认是1年的期限

#开始生成ca文件

certtool --generate-self-signed --load-privkey cakey.pem --template ca.info --outfile cacert.pem

现在目录下有了两个文件
cakey.pem - CA的私钥文件(注意保护这个文件)
cacert.pem - CA的公钥文件(公钥公钥就是大家都可以看的那种)

服务端证书生成

certtool --generate-privkey > node02_serverkey.pem

vi node02_server.info

organization = inspur

cn = node02

ip_address = 100.7.34.23

tls_www_server

encryption_key

signing_key

expiration_days = 700

#organization还是填写你的组织名字

#cn呢如果是公网就填域名,不是的话就是写你KVM服务器的hostname,hostname用命令hostname查看

#ip_address写你的kvm服务器的IP地址

#expiration_days和上面一样

#注册证书

certtool --generate-certificate --load-privkey node02_serverkey.pem \

  --load-ca-certificate cacert.pem --load-ca-privkey cakey.pem \

  --template node02_server.info --outfile node02_servercert.pem

客户端证书

certtool --generate-privkey > node02_clientkey.pem

vi node02_client.info

country = CN

state = JN

locality = JN

organization = inspur

cn = node02

tls_www_server

encryption_key

signing_key

expiration_days = 700

certtool --generate-certificate --load-privkey node02_clientkey.pem \

  --load-ca-certificate cacert.pem --load-ca-privkey cakey.pem \

  --template node02_client.info --outfile node02_clientcert.pem

证书分发

模板是node1_client.info的就分发到co-dev-node1服务器,如果生成多个计算节点证书,每个计算节点分发包括服务端和客户端证书,CA证书是同一个。

mkdir -p /etc/pki/libvirt/private

chmod 755 /etc/pki/libvirt/

chmod 750 /etc/pki/libvirt/private 

分发ca证书

scp cacert.pem @node03:/etc/pki/CA

chmod 444 /etc/pki/CA/cacert.pem

分发服务端证书

scp -p node03_servercert.pem @node03:/etc/pki/libvirt/servercert.pem

scp -p node03_serverkey.pem @node03:/etc/pki/libvirt/private/serverkey.pem

chgrp qemu /etc/pki/libvirt \

              /etc/pki/libvirt/servercert.pem \

			  /etc/pki/libvirt/private \

			  /etc/pki/libvirt/private/serverkey.pem

chmod 440 /etc/pki/libvirt/servercert.pem

chmod 440 /etc/pki/libvirt/private/serverkey.pem

分发客户端证书

scp -p node03_clientcert.pem @node03:/etc/pki/libvirt/clientcert.pem

scp -p node03_clientkey.pem @node03:/etc/pki/libvirt/private/clientkey.pem

chmod 400 /etc/pki/libvirt/clientcert.pem

chmod 400 /etc/pki/libvirt/private/clientkey.pem

libvirtd配置

修改/etc/libvirt/libvirtd.conf 参数

listen_tcp = 1

listen_tls = 1  #开启

tls_port = "16514" #端口可以不写,不写默认为16514

auth_tcp = "none"

log_level = 3

log_outputs = "3:file:/var/log/kolla/libvirt/libvirtd.log"

listen_addr = "100.2.30.241"

tcp_port = "16509"

host_uuid = "8148c199-01a8-57e4-85f8-50ad834b79f0"

key_file = "/etc/pki/libvirt/private/serverkey.pem" #证书路径

cert_file = "/etc/pki/libvirt/servercert.pem" #证书路径

ca_file = "/etc/pki/CA/cacert.pem" #证书路径

改完重启libvirt服务

虚拟机迁移

测试一下证书的可用性

virsh -c qemu+tls://node32/system hostname

p2p的tls通道测试虚拟机在不同的主机间迁移

virsh migrate --p2p --tunnelled instance-0000000e  qemu+tls://node32/system

p2p原生迁移

virsh migrate --p2p  instance-00000001 qemu+tcp://100.2.30.242/system

libvirt客户端向libvirtd服务端的原生迁移

virsh migrate  instance-00000001 qemu+tcp://100.2.30.242/system

virsh migrate  instance-00000001 qemu+tls://node241/system

报错处理

(1)

(nova-libvirt)[root@node03 /]# virsh migrate --p2p --tunnelled instance-00000005  qemu+tls://node02/system

error: Unable to pre-create chardev file '/var/lib/nova/instances/2105158c-94f2-4c4f-8f26-a211acdd7dd9/console.log': No such file or directory

目标端创建该文件夹

(2)

(nova-libvirt)[root@node03 2105158c-94f2-4c4f-8f26-a211acdd7dd9]# virsh migrate --p2p --tunnelled instance-00000005  qemu+tls://node02/system

error: Cannot get interface MTU on 'qbrd0f61f69-2e': No such device

目标端创建该网桥,brctl addbr qbrd0f61f69-2e

(3)

error: internal error: process exited while connecting to monitor: 2019-07-25T02:45:24.440142Z qemu-kvm: -chardev pty,id=charserial0,

logfile=/var/lib/nova/instances/0e4f2c37-b9ba-43f5-ac6c-9a0594caaebe/console.log,logappend=off: Unable to open logfile /var/lib/nova/instances/0e4f2c37-b9ba-43f5-ac6c-9a0594caaebe/console.log: Permission denied

openstack环境,可能路径的权限不对,看看是不是需要改成nova

libvirt-qemu-TLS加密虚拟机传输实例分析的更多相关文章

  1. MQTT TLS 加密传输

    MQTT TLS 加密传输 Mosquitto原生支持了TLS加密,TLS(传输层安全)是SSL(安全套接层)的新名称,生成证书后再配置一下MQTT代理,本文主要介绍Mqtt如何实现双向认证和单向认证 ...

  2. OutOfMemoryError/OOM/内存溢出异常实例分析--虚拟机栈和本地方法栈溢出

    关于虚拟机栈和本地方法栈,在JVM规范中描述了两种异常: 1.如果线程请求的栈深度大于JVM所允许的深度,将抛出StackOverflowError异常: 2.如果虚拟机在扩展栈时无法申请到足够的内存 ...

  3. 干货分享: 长达250页的Libvirt Qemu KVM的ppt,不实验无真相

    下载地址:Libvirt Qemu KVM 教程大全 http://files.cnblogs.com/popsuper1982/LibvirtQemuKVM.pptx 1. 概论 1.1 虚拟化的基 ...

  4. KVM 介绍(8):使用 libvirt 迁移 QEMU/KVM 虚机和 Nova 虚机 [Nova Libvirt QEMU/KVM Live Migration]

    学习 KVM 的系列文章: (1)介绍和安装 (2)CPU 和 内存虚拟化 (3)I/O QEMU 全虚拟化和准虚拟化(Para-virtulizaiton) (4)I/O PCI/PCIe设备直接分 ...

  5. 识别TLS加密恶意流量

    利用背景流量数据(contexual flow data)识别TLS加密恶意流量 识别出加密流量中潜藏的安全威胁具有很大挑战,现已存在一些检测方法利用数据流的元数据来进行检测,包括包长度和到达间隔时间 ...

  6. libvirt/qemu特性之numa

    博客地址:http://blog.csdn.net/halcyonbaby 内容系本人学习.研究和总结,如有雷同,实属荣幸! Numa 查看主机node情况 使用virsh命令查看 virsh # c ...

  7. 利用背景流量数据(contexual flow data) 识别TLS加密恶意流量

    识别出加密流量中潜藏的安全威胁具有很大挑战,现已存在一些检测方法利用数据流的元数据来进行检测,包括包长度和到达间隔时间等.来自思科的研究人员扩展现有的检测方法提出一种新的思路(称之为“dataomni ...

  8. RPC原理及RPC实例分析

    在学校期间大家都写过不少程序,比如写个hello world服务类,然后本地调用下,如下所示.这些程序的特点是服务消费方和服务提供方是本地调用关系. 1 2 3 4 5 6 public class ...

  9. 用实例分析H264 RTP payload

    用实例分析H264 RTP payload H264的RTP中有三种不同的基本负载(Single NAL,Non-interleaved,Interleaved) 应用程序可以使用第一个字节来识别. ...

随机推荐

  1. QTcpSocket 对连接服务器中断的不同情况进行判定(六种情况,其中一种使用IsNetworkAlive API方法)

    简述 对于一个C/S结构的程序,客户端有些时候需要实时得知与服务器的连接状态.而对于客户端与服务器断开连接的因素很多,现在就目前遇到的情况进行一下总结. 分为下面六种不同情况 客户端网线断开 客户端网 ...

  2. 我们检测到您的浏览器不兼容传输层安全协议 (TLS) 1.1 或更高版本,此协议在 Internet 上用于确保您通信的安全性。

    早上使用.Net WebClient类采集亚马逊数据,返回http 400 Bad Request错误,内容里面有“我们检测到您的浏览器不兼容传输层安全协议 (TLS) 1.1 或更高版本,此协议在 ...

  3. Qt浅谈之二:钟表(时分秒针)

    一.简介 QT编写的模拟时钟,demo里的时钟只有时针和分针,在其基础上添加了秒针,构成了一个完整的时钟.能对2D绘图中坐标系统.平移变换(translate).比例变换(scale).旋转变换(ro ...

  4. 今天想安装 windowsl ive 提示安装失败 错误码

    Windows Live installation error: OnCatalogResult: 0x80072ee6 看了了这个老兄的回答,试了试,果然OK,谢谢@普洛提亚从这里下载安装包,然后安 ...

  5. Delphi 使用双缓冲解决图片切换时的闪烁问题 good

    var TempCanvas: TCanvas; BufDC: HDC; BufBitmap: HBITMAP; begin // 创建一个与显示设备兼容的内存设备 BufDC := CreateCo ...

  6. git实战经验(很实用)

    推荐学习git很好的网站https://www.breakyizhan.com/git/216.html 以下内容,虽然编排不行,但是请认真的读下去,都是自己平时请自操作的,放心使用. 这是个人的gi ...

  7. abp(net core)+easyui+efcore实现仓储管理系统——展现层实现增删改查之列表视图(七)

    abp(net core)+easyui+efcore实现仓储管理系统目录 abp(net core)+easyui+efcore实现仓储管理系统——ABP总体介绍(一) abp(net core)+ ...

  8. ThinkPHP判断post,get操作

    define('REQUEST_METHOD',$_SERVER['REQUEST_METHOD']); define('IS_GET', REQUEST_METHOD =='GET' ? true ...

  9. 如何把设计稿中px值转化为想要的rem值

    首先我们需要的是把尺寸转化为rem值 假如 设计稿中的是 200px*200px的图片 移动端的设计图尺寸一般是640*750; 第一步.  把图片分为若干份(好算即可),每一份的大小就是rem的单位 ...

  10. Programming In Lua 第四章

    1, 2, 3, 4, 5, 6, 7,