E.3. 为 FIPS 启用加密的 VNC 控制台
您可以将加密的 VNC 控制台设置为与启用了 FIPS 的 Red Hat Virtualization (RHV)管理器和主机一起使用。
要设置加密的 VNC 控制台,您可以完成以下步骤:
E.3.1. 配置集群以启用 VNC 加密
前提条件
- 集群中必须启用 FIPS。
流程
-
在管理门户中,点
。 - 选择您要启用 VNC 加密的集群并点 。这会打开 Edit Cluster 窗口。
- 选择 Console 选项卡。
- 选择 Enable VNC Encryption,点 。
E.3.2. 为每个主机运行 VNC SASL Ansible playbook
流程
在管理门户中,将启用了 FIPS 的主机置于维护模式:
-
单击
。 在 Virtual Machines 列中,验证每个主机都有零个虚拟机。
如果需要,执行实时迁移以从主机中删除虚拟机。请参阅 主机之间迁移虚拟机。
-
选择每个主机,再单击
和 。
-
单击
连接到运行 Manager 的机器的命令行。
独立管理器:
# ssh root@rhvm
-
自托管引擎:单击
以选择自托管引擎虚拟机(默认名为 HostedEngine),然后单击 。
为每个主机运行 VNC SASL Ansible playbook:
# cd /usr/share/ovirt-engine/ansible-runner-service-project/project/ # ansible-playbook --ask-pass --inventory=<hostname> ovirt-vnc-sasl.yml <1>
- 指定
上显示 的主机名。
-
选择主机并点
。 -
重新安装后,选择主机并点
。 -
重新引导后,选择主机,再单击
。
VNC SASL Ansible playbook 错误消息
在运行 VNC SASL Ansible playbook 时,该任务可能会失败并显示以下错误消息:
Using a SSH password instead of a key is not possible because Host Key checking is enabled and sshpass does not support this. Please add this host’s fingerprint to your known_hosts file to manage this host.
要解决这个问题,请通过以下操作之一禁用主机密钥检查:
通过取消注释
/etc/ansible/ansible.cfg中的以下行来永久检查主机密钥:#host_key_checking = False
运行以下命令,临时禁用主机密钥检查:
export ANSIBLE_HOST_KEY_CHECKING=False
E.3.3. 配置远程查看器以信任 Manager 的 CA 证书
在客户端机器 virt-viewer 或 remote-viewer 上配置 Remote Viewer 控制台,以信任 RHV Manager 的证书颁发机构(CA)
流程
-
导航到
https://<engine_address>/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA。 - 启用所有信任设置。
在您要运行 VNC 控制台的客户端机器中,为证书文件创建一个目录:
$ mkdir ~/.pki/CA
警告如果此步骤生成错误,例如
mkdir: 无法创建目录 '/home/example_user/.pki/CA': File exists,则采取 precautions 来避免在下一步中覆盖~/.pki/CA/cacert.pem。例如,在文件名中包含当前的日期。下载证书:
$ curl -k -o ~/.pki/CA/cacert-<today’s date>.pem '\https://<engine_address>/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA'
在浏览器中安装证书颁发机构:
在客户端机器上安装 SASL SCRAM 库:
$ sudo dnf install cyrus-sasl-scram
验证步骤
- 在您创建的一台启用了 FIPS 的主机上运行虚拟机。
- 使用 VNC 控制台连接至虚拟机。
其他资源
