Vyskúšal som veľa rozhraní na správu webu a žiadne z nich nebolo dosť dobré ako virt-manager.
Viete, som jedným z tých, ktorí mali VMware, kde je 90% ovládania klikateľné.
Moje otázky:
1) Existuje nejaká "interaktívna" CLI utilita ako mc (midnight commander) alebo niečo ako ovládať KVM? (ZAP/VYP VM, zväčšite pamäť, reštartujte virtuálne stroje, pridanie virtuálneho hardvéru, pridanie nových diskov atď.)
2) Vedeli by ste mi odporučiť nejaké rozhranie na správu webového rozhrania pre KVM na debian squeeze? Videli ste VMware Server 2? Existuje webová kontrola. Viem, že to bolo pomalé, ale to je normálne, keď ste niekde bez terminálu. (napríklad na Androide s webovým prehliadačom) Vyskúšal som ich veľa, ale nič z toho, čo som skúšal, nezabralo.
5) Ako zlepšiť bezpečnosť KVM? Mohlo by tento problém vyriešiť nejaké webové rozhranie? (napr. účtovníctvo, správa používateľov?)
Viem, že existuje google, wiki, existuje dlhý zoznam UI pre kvm, ale potrebujem názory, skúsenosti od odborníkov alebo používateľov, ktorí používajú KVM. Dúfam, že to nie je hlúpa otázka. Ďakujem všetkým za odpovede na moje otázky.
Pre webového správcu KVM môžete vyskúšať Proxmox. Pokyny pre Debian Squeeze sú tu.
Má nástroje príkazového riadku, ale nemá textovú ponuku.
Mali by ste nastaviť malé prostredie a vyskúšať to. Potom uveďte cieľ a implementujte ho.
Na to neexistuje presná odpoveď/návod. Ako konfigurovateľný je KVM server/klient skutočne závisí od toho, koľko zdrojov (cpu/ram/úložisko) je dostupných.
Opäť to závisí od vášho prostredia a to sú napríklad viacvrstvové/zariadenia. smerovače, firewall, ip tabuľky, politika hesiel, politika prístupu atď. Nepoznám žiadne grafické rozhranie, webovú základňu alebo nie, ktoré by zvládlo toto všetko, vrátane KVM. (OK, existuje cloud, ale nemám s ním vôbec žiadne skúsenosti)
Ste sa pokúsili Kimchi? je užívateľsky najprívetivejšie otvorený zdrojový kód na KVM a je sponzorovaný IBM.
Zrieknutie sa zodpovednosti: Nie som vôbec spojený s Kimchi. Milujem len jeho priateľskosť.
Odborníci používajú CLI. Nie GUI. To platí aj pre skúsených správcov systému Windows.
Nie, grafické používateľské rozhranie sa stále zlepšuje, ale skripty s automatickým protokolovaním sú rýchlejšie a robia, čo chcete.
Zlepšiť výkon v KVM? Hodiť preč.
Toto je len rada od experta XEN-PV. Rýchlejšie sú iba LXC (alebo iné kontajnery) alebo riešenia založené na chroot.
Inštalačná príručka KVM nemusí byť veľmi podrobná, ale aspoň poskytuje alebo poskytuje nápady týkajúce sa procesu inštalácie a konfigurácie.
K dispozícii je nová správa systému KVM a AV/IT na podnikovej úrovni s názvom Boxilla, ktorá má komplexné a centralizované riadiace centrum, ktoré poskytuje maximálny výkon, jednoduchosť použitia a bezpečnosť.
Poskytuje možnosť spravovať vysokovýkonné KVM, KVM over IP, virtualizované koncové body a rôzne AV/IT zariadenia v jednom centralizovanom príkazovom centre, čo umožňuje správcom spravovať viacvrstvové nasadenia KVM a AV/IT pomocou výkonného webu a zdieľania. používateľské rozhranie. Môžete to nájsť tu: https://www.blackbox.co.uk/gb-gb/page/37929/Solutions-Industries/Technology-Products/KVM-Switching-and-Extension/Centralised-KVM-AV-Manager -Boxilla
Verím, že veľa ľudí sa stretlo s obyčajnými KVM prepínačmi. Skratka „KVM“ znamená „Keyboard Video Mouse“. Zariadenie KVM vám umožňuje, ak máte iba jednu sadu klávesnica+monitor+myš (K.M.M.), ovládať niekoľko počítačov ( systémové jednotky). Inými slovami, vezmeme N systémových jednotiek, pripojíme ich výstupy z K.M.M. do KVM zariadenia a k samotnému zariadeniu pripojíme skutočný monitor, klávesnicu a myš. Prepínaním medzi počítačmi pomocou KVM môžeme vidieť, čo sa deje na obrazovke zvoleného počítača, ako aj ovládať ho, ako keby sme k nemu boli priamo pripojení.
To je výhodné, ak na prácu potrebujeme niekoľko strojov, ale nie je potrebný prístup k nim súčasne. Navyše šetrí veľa miesta – monitory, dokonca aj LCD, zaberajú na stole pomerne veľa miesta. Áno, a stoja dosť málo. A v hromade klávesníc a myší na stole sa môžete rýchlo zmiasť...
Pokročilí čitatelia budú namietať – prečo taká zložitosť, ak sú počítače s najväčšou pravdepodobnosťou pripojené k jednému lokálna sieť a môžete použiť programy zabudované v operačnom systéme (alebo externé) vzdialený prístup, napríklad Terminal Services alebo Radmin pod Windows, VNC, ssh pod *nix-like operačnými systémami. Všetko je správne, ale čo máme robiť, ak napríklad potrebujeme vstúpiť do BIOSu počítača alebo sa operačný systém prestal načítavať, pretože sme nainštalovali nejaký nesprávny ovládač alebo program? Alebo máme v počítači nainštalovaných niekoľko operačných systémov a potrebovali sme si vybrať iný, než ktorý sa spúšťa štandardne? Vo všeobecnosti sú všetky tieto programy naozaj dobré, ale do určitých limitov – pokiaľ je operačný systém počítača funkčný a prístup k počítaču potrebujeme až po zavedení tohto OS.
Pozrime sa napríklad na niekoľko typických prepínačov KVM s použitím zariadení vyrábaných spoločnosťou ako príklad.
CN-6000 podporuje rozdelenie právomocí medzi užívateľov a umožňuje vytvárať až 64 správcovských alebo užívateľských účtov, z ktorých až 16 účtov môže pracovať so zariadením súčasne. Zariadenie má zabudované webové administračné rozhranie a jeho malá veľkosť umožňuje umiestniť ho na stôl alebo namontovať (pomocou špeciálnej konzoly, ktorá je súčasťou súpravy) na bočný nosník stojana (možnosť montáže do 0U racku). CN-6000 podporuje aktualizácie firmvéru cez ethernetové pripojenie (z webového rozhrania alebo natívneho nástroja). Maximálne rozlíšenie videa, ktoré zariadenie podporuje, je 1600 x 1200 pixelov.
Súhrnná tabuľka špecifikácií:
| Hardvérové požiadavky (vzdialený klient) | Pentium III 1 GHz | ||
| Rozhrania | Lokálna konzola | Klávesnica | 1 × Mini-DIN-6 F (fialová) |
| Video | 1 × HDB-15 F (modrá) | ||
| Myška | 1 × HDB-15 F (zelená) | ||
| Systém (KVM) | 1 × SPHD-15 F (žltá) | ||
| LAN port | 1 × RJ-45(F) | ||
| Zapnutie siete (rezervované) | 1 x DB9(M) | ||
| Napájacie rozhranie | 1 | ||
| Tlačidlá/prepínače | Resetovanie KVM | 1 × poloskrytý, predný | |
| Ukazovatele | výživa | 1 x pomaranč | |
| pripojenie vzdialeného užívateľa | 1 x zelená | ||
| LAN 10/100 Mbps | 1x zelená/oranžová | ||
| Podporované protokoly | 10baseT Ethernet a 100baseTX Fast Ethernet. TCP/IP | ||
| Rozlíšenia videa | Až 1600 × 1200 60 Hz | ||
| Rám | kov | ||
| Rozmery (dĺžka × šírka × výška) | 200 × 80 × 25 mm | ||
Prejdime k testom.
Na priloženom CD nájdete štyri nástroje:
Prepínač KVM má navyše zabudovaný WEB server, takže k zariadeniu je možné pristupovať cez webový prehliadač. K webovému rozhraniu sa ale vrátime o niečo neskôr, najskôr sa pozrieme na jednotlivé utility.
Program je určený na konfiguráciu zariadenia, nastavenie prístupových hesiel, zabezpečenia atď.
Pri spustení sa stala zábavná vec:
Pri prvom spustení všetkých nástrojov z dodaného disku musíte zadať sériové číslo. V dokumentácii (dokonca Najnovšia verzia, ktorý je na webovej stránke výrobcu) sa uvádza, že sériové číslo je vytlačené na spodnej strane puzdra CN-6000. A naozaj je tam vytlačené nejaké sériové číslo, len je oveľa kratšie, ako vyžadujú programy. Vo všeobecnosti, po troche trápenia, zadávaní nájdeného sériového čísla tak a tak, pridávaní núl alebo medzier a nedosiahnutie ničoho viac ako okno „Neplatné sériové číslo“, som už v ten deň chcel dokončiť testovanie zariadenia. Po vybratí CD z CD-ROM (najskôr som ho vložil do CD mechaniky – musel som nainštalovať softvér) som na disku objavil zvláštnu nálepku – ukázalo sa, že ide o vzácne sériové číslo.
Samozrejme, teoreticky môže človek pri vkladaní CD do mechaniky venovať pozornosť tomu, čo je napísané alebo vložené na CD. Ale koľko ľudí tomu okamžite venuje pozornosť? :) A možno sa pýtate, prečo bolo potrebné písať do dokumentácie zámerne nepravdivé informácie? Opakujem - na stránke je toho viac novú verziu dokumentácie a tento „preklep“ tam nie je opravený. Všimol som si, že toto nie je posledná nepresnosť, ktorá sa v dokumentácii vyskytuje, takže niekedy musíte konať podľa príslovia „neverte svojim očiam“.
Administračná utilita CN-6000 je užitočná v tom, že nám umožňuje nájsť zariadenie v sieti, aj keď jeho IP adresa nepatrí do podsiete, v ktorej sa nachádzame, stačí, aby sme (počítač, z ktorého sa snažíme prístup k CN-6000) boli v rovnakom segmente lokálnej siete ako prepínač KVM.
Po zadaní používateľského prihlasovacieho mena a hesla sa dostaneme do ponuky konfigurácie zariadenia:
ATEN zaujal dobrý prístup k otázke bezpečnosti zariadení. Pri prvom vstupe do konfigurácie zariadenia sme na to upozornení štandardné prihlásenie a bolo by dobré zmeniť heslo...
V kapitole sieť IP adresovanie zariadenia je nakonfigurované, porty sú nastavené pre vzdialený prístup k počítačom ovládaným CN-6000. A tu môžete zadať aj MAC adresu stroja, na ktorom sa nachádza program „Log Server“, ktorý ukladá protokolové súbory (udalosti) odoslané z prepínača KVM (ak to nešpecifikujete, protokoly sa budú ukladať na samotný KVM a môžete si ich prezerať z webového rozhrania). Týmto strojom (pre Log server) môže byť akýkoľvek počítač so systémom Windows, na ktorom je spustený diskutovaný program. Jediným problémom je, že počítač musí byť v rovnakom segmente siete (približne povedané, pripojený k rovnakému prepínaču) ako samotný KVM CN-6000, takže užitočnosť tejto „funkcie“ je otázna.
Záložka Bezpečnosť filtre sú nakonfigurované (podľa MAC a/alebo IP adries) na prístup na vzdialenú obrazovku spravovaných počítačov, ako aj filter na správu samotného CN-6000.
Na ďalšej karte sú uvedené používateľské mená a heslá, ako aj ich práva. Pozoruhodné je, že môžete obmedziť prihlásenia na konfiguráciu CN-6000 a používanie klienta JAVA. Minimálna dĺžka hesla, ktorú akceptuje konfiguračný program, je osem znakov. Je samozrejme škoda, že heslo nie je kontrolované na „jednoduchosť“, ale aj kontrola dĺžky hesla naznačuje, že ATEN dbá na bezpečnosť.
Posledná záložka umožňuje aktualizovať firmvér zariadenia, umožniť viacerým ľuďom súčasne sa pripojiť k vzdialenému počítaču (myš a klávesnica sú však stále rovnaké, z pohľadu ovládaného počítača teda jeden ovláda, odpočívaj hodinky... alebo sa navzájom rušia ťahaním myšou rôzne strany). Tu môžete nakonfigurovať reakciu na nesprávny proces autentifikácie, ako aj povoliť rôzne režimy„schovávanie“ CN-6000 (nedostatok odozvy na ping a zákaz ukázať sa, keď automatické vyhľadávanie zariadení v lokálnej sieti prostredníctvom klientskej pomôcky alebo pomôcky na správu).
Na tej istej karte je ďalšia položka - Resetovať pri ukončení. Predpokladal by som, že ide o obnovenie predvolených nastavení, ale v tomto prípade to zahŕňa reštartovanie zariadenia pri ukončení konfiguračného programu. V opačnom prípade (ak ho nereštartujete), hoci sa nové nastavenia zapamätajú, nepoužijú sa (až do reštartu).
V tomto bode možno považovať zváženie konfiguračného nástroja za dokončené (ďalšiemu aspektu sa budeme venovať v časti o Java klientovi).
Prejdime k webovému rozhraniu.
Aby ste sa dostali do webového rozhrania zariadenia, stačí zadať IP adresu, ktorá je nainštalovaná na CN-6000 v ľubovoľnom prehliadači.
Pozoruhodné je, že prehliadač okamžite presmeruje klienta na pripojenie cez HTTPS://, t.j. všetka ďalšia práca prebieha prostredníctvom zabezpečeného pripojenia SSL.
Po zadaní prihlasovacieho mena a hesla sa aktivujú ikony na ľavej a hornej strane webového rozhrania (môžete na ne kliknúť).
Horné ikony otvárajú sekcie súvisiace s konfiguráciou CN-6000. Všetky možnosti tam väčšinou opakujú možnosti v rozhraní pomôcky Windows Nástroj správcu, ale existujú určité rozdiely. Napríklad v tomto okne (konfigurácia sieťových adries) môžeme nastaviť iba IP adresu zariadenia, ale nemôžeme zadať masku podsiete a bránu. Navyše nastavenie IP adresy funguje akosi krivo - IP adresu zariadenia sa mi z webového rozhrania nikdy nepodarilo zmeniť (bez problémov sa zmenila pomocou utility Admin Tools).
Toto môžete pozorovať v nástroji Admin Tool, keď sa pokúsite zmeniť adresu cez webové rozhranie z 10.0.0.9 na 192.168.0.1. Z nejakého dôvodu sa maska podsiete zmenila zo štandardnej 255.255.255.0 na 10.0.0.9 a zariadenie (po reštarte) na 5 sekúnd reaguje na adresu 192.168.0.1 a potom začne reagovať na 10.0.0.9 (úplne zabudne približne 192.168.0.1). Môže ísť o chybu aktuálnej verzie firmvéru (1.5.141), no táto verzia bola v čase testovania najnovšou, ktorú bolo možné nájsť na webovej stránke spoločnosti.
Počas testovania neboli nájdené žiadne ďalšie chyby súvisiace s webovým rozhraním.
kapitola Bezpečnosť opakuje podobnú časť v nástroji Admin Tool.
Podobná situácia s oddielom Správca používateľov…
...a sekcia Prispôsobenie.
Ikona Log, ktorý sa nachádza na ľavej strane webového rozhrania, umožňuje zobraziť udalosti, ku ktorým došlo počas prevádzky zariadenia. V tomto prípade snímka obrazovky odráža protokoly, ktoré sa objavili pri testovaní zariadenia programom Nessus.
Ako už bolo spomenuté vyššie, protokoly môžu byť uložené na externý protokolový server (ale s určitými obmedzeniami jeho umiestnenia).
Kimchi je webové rozhranie založené na HTML5 pre KVM. Poskytuje jednoduché a flexibilné rozhranie na vytváranie a správu hosťujúcich virtuálnych strojov. Kimchi je nainštalovaný a beží ako démon na hostiteľovi KVM. Spravuje hostí KVM s pomoc libvirt. Kimchi rozhranie podporuje všetky najnovšie verzie prehliadačov s verziou -1, podporuje aj mobilné prehliadače.
Kimchi je možné nainštalovať na najnovšiu verziu RHEL, Fedora, openSUSE a Ubuntu. V tejto príručke som použil Ubuntu 14.10 ako hostiteľa KVM.
Pred konfiguráciou kimchi musíte nainštalovať nasledujúce závislé balíky.
$ sudo apt-get install gcc make autoconf automake gettext git python-cherrypy3 python-cheetah python-libvirt libvirt-bin python-imaging python-pam python-m2crypto python-jsonschema qemu-kvm-toolstools libredrpy python-libredrpy python-pam python-ldap python-lxml nfs-common open-iscsi lvm2 xsltproc python-parted nginx firewalld python-guestfs libguestfs-tools python-requests websockify novnc spice-html5 wget
Počas inštalácie balíkov sa vás systém opýta na nasledujúce podrobnosti.
1. OK v konfigurácii Postfixu.
2. Vyberte Internetová stránka na všeobecnom type konfigurácie pošty.
3. Zadajte svoje FQDN a potom vyberte OK.
Po inštalácii si stiahnite najnovšiu verziu kimchi z githubu.
$ wget https://github.com/kimchi-project/kimchi/archive/master.zip
Rozbaľte stiahnutý súbor.
$ unzip master.zip $ cd kimchi-master/
Zostavte kimchi pomocou nasledujúceho príkazu.
$ ./autogen.sh --system
$ make $ sudo make install # Voliteľné pri spustení zo zdrojového stromu
$ sudo kimchid --host=0.0.0.0
Prístup k kimchi pomocou webový prehliadač, https://localhost:8001. Budete požiadaní, aby ste sa prihlásili, použili svoje systémové poverenia, ktoré bežne používate na prihlásenie do systému.
Po prihlásení sa vám zobrazí stránka podobná nižšie. Toto zobrazuje zoznam spustených hosťujúcich virtuálnych počítačov na aktuálnom hostiteľovi, máte tlačidlá na vykonanie vypnutia, reštartovania a pripojenia ku konzole kliknutím na akciu.
Ak chcete vytvoriť nový hosťovský počítač, kliknite na znamienko + v pravom rohu. Ak použijete túto možnosť na vytvorenie stroja, vykoná sa to prostredníctvom šablón.
Šablóny môžete spravovať návštevou ponuky šablón. Ak chcete vytvoriť novú šablónu, kliknite na znamienko + v pravom rohu. Šablónu môžete vytvoriť pomocou obrázkov ISO, môžeš umiestnite obrázky iso na /var/lib/kimchi/isos alebo použite vzdialený.
Úložnú oblasť môžete spravovať tak, že prejdete do ponuky úložiska, kde môžete pridať nové úložisko kliknutím na znamienko +. Podporuje pridávanie NFS, iSCSI a SCSI fibre channel storage.
Sieť je možné spravovať tak, že prejdete do menu siete, môžete vytvoriť novú sieť s izolovanou, NAT a premostenou sieťou.
V Ubuntu sa odporúča používať hypervízor KVM (správca virtuálnych strojov) a knižnicu libvirt ako nástroj na správu. Libvirt obsahuje sadu softvérových rozhraní API a vlastné aplikácie zvládanie virtuálne stroje(VM) virt-manager (grafické rozhranie, GUI) alebo virsh ( príkazový riadok,CLI). Ako alternatívnych manažérov môžete použiť convirt (GUI) alebo convirt2 (WEB rozhranie).
V súčasnosti je na Ubuntu oficiálne podporovaný iba hypervízor KVM. Tento hypervízor je súčasťou kódu operačného jadra Linuxové systémy. Na rozdiel od Xen, KVM nepodporuje paravirtualizáciu, čo znamená, že ak ju chcete použiť, váš CPU musí podporovať technológie VT. Môžete skontrolovať, či váš procesor podporuje túto technológiu spustením príkazu v termináli:
Ak sa ako výsledok zobrazí nasledujúca správa:
INFO: /dev/kvm existuje Je možné použiť zrýchlenie KVM
To znamená, že KVM bude fungovať bez problémov.
Ak ste pri výstupe dostali nasledujúcu správu:
Váš procesor nepodporuje rozšírenia KVM Zrýchlenie KVM sa NEDÁ použiť
potom môžete stále používať virtuálny stroj, ale bude oveľa pomalší.
Nainštalujte 64-bitové systémy ako hostia
Prideľte hosťovským systémom viac ako 2 GB pamäte RAM
Sudo apt-get install qemu-kvm libvirt-bin ubuntu-vm-builder bridge-utils
Ide o inštaláciu na server bez X, t.j. neobsahuje grafické rozhranie. Môžete ho nainštalovať pomocou príkazu
Sudo apt-get install virt-manager
Potom sa v ponuke objaví položka „Správca virtuálnych strojov“ a s vysokou pravdepodobnosťou bude všetko fungovať. Ak sa stále vyskytnú nejaké problémy, budete si musieť prečítať pokyny na anglickej wiki.
Postup vytvorenia hosťujúceho systému pomocou GUI je pomerne jednoduchý.
Ale textový režim sa dá popísať.
Pri vytváraní systému pomocou GUI as pevný disk navrhuje sa buď vybrať existujúci obrazový súbor alebo blokovať zariadenie, alebo vytvoriť nový súbor s nespracovanými (RAW) dátami. Toto však zďaleka nie je jediný dostupný formát súboru. Zo všetkých typov diskov uvedených v man qemu-img je najflexibilnejší a najmodernejší qcow2. Podporuje snímky, šifrovanie a kompresiu. Musí byť vytvorený pred vytvorením nového hosťa.
Qemu-img create -o preallocation=metadata -f qcow2 qcow2.img 20G
Podľa toho istého muža qemu-img predbežné pridelenie metadát (-o preallocation=metadata) robí disk spočiatku trochu väčším, ale poskytuje lepší výkon, keď obraz potrebuje rásť. V skutočnosti vám v tomto prípade táto možnosť umožňuje vyhnúť sa nepríjemnej chybe. Vytvorený obrázok spočiatku zaberá menej ako megabajt miesta a podľa potreby rastie na špecifikovanú veľkosť. Hosťujúci systém by mal okamžite vidieť túto konečnú špecifikovanú veľkosť, avšak počas fázy inštalácie môže vidieť skutočnú veľkosť súboru. Prirodzene, nainštalujte HDD 200 kB vo veľkosti odmietne. Chyba nie je špecifická pre Ubuntu; objavuje sa aspoň v RHEL.
Okrem typu obrazu si následne môžete zvoliť spôsob jeho pripojenia – IDE, SCSI alebo Virtio Disk. Výkon diskového subsystému bude závisieť od tejto voľby. Neexistuje žiadna jednoznačná správna odpoveď, musíte si vybrať na základe úlohy, ktorá bude pridelená hosťovskému systému. Ak hosťovský systém je vytvorený „na pozeranie“, potom bude stačiť akákoľvek metóda. Vo všeobecnosti je to I/O, ktoré je prekážkou virtuálneho stroja, takže pri vytváraní vysoko zaťaženého systému je potrebné pristupovať k tomuto problému čo najzodpovednejšie.
