E.3. FIPS에 대해 암호화된 VNC 콘솔 활성화
RHV(Red Hat Virtualization) 관리자 및 FIPS가 활성화된 호스트에서 작동하도록 암호화된 VNC 콘솔을 설정할 수 있습니다.
암호화된 VNC 콘솔을 설정하려면 다음 절차를 완료합니다.
E.3.1. VNC 암호화를 활성화하도록 클러스터 구성
사전 요구 사항
- 클러스터에서 FIPS를 활성화해야 합니다.
절차
- 관리 포털에서 를 클릭합니다.
- VNC 암호화를 활성화하려는 클러스터를 선택하고 Edit Cluster(클러스터 편집 ) 창이 열립니다. 클릭합니다.
- Console(콘솔 ) 탭을 선택합니다.
- Enable VNC Encryption 확인란을 선택하고 )를 클릭합니다.
E.3.2. 각 호스트에 대해 VNC SASL Ansible 플레이북 실행
절차
관리 포털에서 FIPS 지원 호스트를 유지 관리 모드로 설정합니다.
- 클릭합니다.
Virtual Machines(가상 시스템 ) 열에서 각 호스트에 0개의 가상 시스템이 있는지 확인합니다.
필요한 경우 호스트에서 가상 시스템을 제거하려면 실시간 마이그레이션을 수행합니다. 호스트 간 가상 머신 마이그레이션 을 참조하십시오.
-
각 호스트를 선택하고
(관리 유지 관리) 및 (확인)를 클릭합니다.
Manager가 실행 중인 시스템의 명령줄에 연결합니다.
독립 실행형 관리자:
# ssh root@rhvm
-
셀프 호스트 엔진:
(가상 시스템)를 클릭하여 기본적으로 HostedEngine
이라는 자체 호스팅 엔진 가상 시스템을 선택한 다음 (콘솔)을 클릭합니다.
각 호스트에 대해 VNC SASL Ansible 플레이북을 실행합니다.
# cd /usr/share/ovirt-engine/ansible-runner-service-project/project/ # ansible-playbook --ask-pass --inventory=<hostname> ovirt-vnc-sasl.yml <1>
.
-
호스트를 선택하고
(재설치)을 클릭합니다. -
재설치 후 호스트를 선택하고
(다시 시작)를 클릭합니다. -
재부팅 후 호스트를 선택하고
(활성화) 를 클릭합니다.
VNC SASL Ansible Playbook 오류 메시지
VNC SASL Ansible 플레이북을 실행할 때 다음 오류 메시지와 함께 작업이 실패할 수 있습니다.
Using a SSH password instead of a key is not possible because Host Key checking is enabled and sshpass does not support this. Please add this host’s fingerprint to your known_hosts file to manage this host.
이 문제를 해결하려면 다음 중 하나를 수행하여 호스트 키 검사를 비활성화합니다.
/etc/ansible/ansible.cfg에서 다음 행의 주석을 제거하여 호스트 키 검사를 영구적으로 비활성화합니다.
#host_key_checking = False
다음 명령을 실행하여 호스트 키 검사를 일시적으로 비활성화합니다.
export ANSIBLE_HOST_KEY_CHECKING=False
E.3.3. 관리자의 CA 인증서를 신뢰하도록 Remote Viewer 구성
RHV Manager의 CA(인증 기관)를 신뢰하도록 클라이언트 시스템, virt
에서 Remote Viewer 콘솔을 구성합니다.
-viewer
또는 remote-viewer
절차
-
https://<engine_address>/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA
로 이동합니다. - 모든 신뢰 설정을 활성화합니다.
VNC 콘솔을 실행하려는 클라이언트 시스템에서 인증서 파일의 디렉터리를 생성합니다.
$ mkdir ~/.pki/CA
주의이 단계를 수행하면
mkdir: 디렉토리 '/home/example_user/.pki/CA'를 생성할 수 없습니다: 파일이 exists
, 다음 단계에서~/.pki/CA/cacert.pem
을 덮어쓰지 않도록 예방합니다. 예를 들어, 파일 이름에 현재 날짜를 포함합니다.인증서를 다운로드합니다.
$ curl -k -o ~/.pki/CA/cacert-<today’s date>.pem '\https://<engine_address>/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA'
브라우저에서 인증 기관을 설치합니다.
클라이언트 시스템에 SASL SCRAM 라이브러리를 설치합니다.
$ sudo dnf install cyrus-sasl-scram
검증 단계
- 생성한 FIPS 지원 호스트 중 하나에서 가상 머신을 실행합니다.
- VNC 콘솔을 사용하여 가상 머신에 연결합니다.
추가 리소스