红帽全球峰会18.2. 使用 SSH 进行远程管理
ssh 软件包提供了一个加密的网络协议,可安全地将管理功能发送到远程虚拟化服务器。下面描述的方法使用 libvirt 管理连接(通过 SSH 连接安全地隧道)来管理远程机器。所有身份验证均使用由本地 SSH 代理收集的 SSH 公钥加密和密码或密码短语来完成。另外,每个 guest 的 VNC 控制台通过 SSH 隧道。
当使用 SSH 远程管理虚拟机时,请注意以下问题:
- 您需要 root 登录对远程机器以管理虚拟机的访问权限。
- 初始连接设置过程可能很慢。
- 没有在所有主机或客户机上撤销用户密钥的标准或简单的方法。
- SSH 无法通过更多远程机器进行很好的扩展。
注意
Red Hat Virtualization 支持远程管理大量虚拟机。详情请查看 Red Hat Virtualization 文档。
SSH 访问需要以下软件包:
- openssh
- openssh-askpass
- openssh-clients
- openssh-server
为 virt-manager配置无密码或密码管理的 SSH 访问
下列说明假设您从头开始,并且尚未设置 SSH 密钥。如果您将 SSH 密钥设置并复制到其他系统,您可以跳过这个过程。
重要
SSH 密钥独立于用户,只能由其所有者使用。密钥的所有者是生成该密钥的用户。密钥可能不会在不同用户间共享。
virt-manager 必须通过拥有密钥来连接远程主机的用户运行。这意味着,如果远程系统由非 root 用户管理,virt-manager 必须以非特权模式运行。如果远程系统由本地 root 用户管理,则 SSH 密钥必须由 root 拥有和创建。
您不能使用 virt-manager 以非特权用户管理本地主机。
可选:更改用户
根据需要更改用户。这个示例使用本地 root 用户来远程管理其他主机和本地主机。su -
$ su -Copy to Clipboard Copied! Toggle word wrap Toggle overflow 生成 SSH 密钥对
在使用 virt-manager 的机器上生成一个公钥对。这个示例在~/.ssh/目录中使用默认密钥位置。ssh-keygen -t rsa
# ssh-keygen -t rsaCopy to Clipboard Copied! Toggle word wrap Toggle overflow 将密钥复制到远程主机
不使用密码或密码短语进行远程登录,要求将 SSH 密钥分发到受管理的系统。使用 ssh-copy-id 命令,在提供的系统地址(示例中为root@host2.example.com)将密钥复制到 root 用户。ssh-copy-id -i ~/.ssh/id_rsa.pub root@host2.example.com
# ssh-copy-id -i ~/.ssh/id_rsa.pub root@host2.example.com root@host2.example.com's password:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 之后,尝试登录到机器,并检查.ssh/authorized_keys文件,以确保还没有添加意外的密钥:ssh root@host2.example.com
ssh root@host2.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 根据需要为其他系统重复此操作。可选:将密码短语添加到 ssh-agent
如果需要,将 SSH 密钥的 pass-phrase 添加到 ssh-agent。在本地主机中,使用以下命令添加 pass-phrase(如果有)以启用无密码登录。ssh-add ~/.ssh/id_rsa
# ssh-add ~/.ssh/id_rsaCopy to Clipboard Copied! Toggle word wrap Toggle overflow 如果 ssh-agent 未在运行,这个命令将无法运行。为避免错误或冲突,请确保您的 SSH 参数设置正确。如需更多信息,请参阅 Red Hat Enterprise System Administration Guide。
libvirt 守护进程 (libvirtd)
libvirt 守护进程提供了管理虚拟机的接口。您必须已在您要以这种方式管理的每个远程主机上安装并运行 libvirtd 守护进程。
ssh root@somehost systemctl enable libvirtd.service systemctl start libvirtd.service
$ ssh root@somehost
# systemctl enable libvirtd.service
# systemctl start libvirtd.service
配置
libvirtd 和 SSH 后,您应该能够远程访问和管理虚拟机。此时,也应该能够通过 VNC 访问您的 guest。
使用 virt-manager 访问远程主机
可以使用 virt-manager GUI 工具管理远程主机。SSH 密钥必须属于执行 virt-manager 的用户,以便免密码登录正常工作。
- 启动 virt-manager。
- 打开 zfcp 菜单。
图 18.1. 添加连接菜单
- 使用下拉菜单选择虚拟机监控程序类型,然后单击 复选框以打开连接方法(本例中为 Remote tunnel over SSH),输入 和 ,然后单击 。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}