RAID-Technologie verspricht höhere Performance und mehr Sicherheit beim permanenten Speichern von Daten. Die ADMIN-Redaktion gibt einen Überblick über ... (mehr)

VNC im Netzwerk

Standardmäßig ist der VNC-Server von »qemu-kvm« nur auf dem KVM-Host erreichbar. Um eine virtuelle Maschine auf einem anderen Rechner zu bedienen, gibt es verschiedene Möglichkeiten. Die eine Variante besteht darin, den VNC-Server an die Adresse 0.0.0.0 zu binden (»vnc_listen=0.0.0.0« in »/etc/libvirt/qemu.conf« ). Diese simple Lösung sollten Sie aus Sicherheitsgründen aber nur in einem abgesicherten Testnetz einsetzen. Unter Fedora und RHEL verhindert zudem die standardmäßig aktive Firewall VNC-Verbindungen von außen.

Port Forwarding

Wesentlich besser ist es, die Voreinstellungen der VNC-Konfiguration zu belassen. Um dennoch von einem externen Rechner via VNC auf die virtuelle Maschine zuzugreifen, verwenden Sie SSH-Port-Forwarding. Diese Vorgehensweise erspart auch Firewall-Änderungen auf dem Host-Rechner. Die einzige Voraussetzung besteht darin, dass auf dem KVM-Host ein SSH-Server läuft. Diese Variante kommt standardmäßig im Virtual Machine Manager zur Anwendung, wenn Sie virtuelle Maschinen steuern, die auf einem anderen Host laufen.

Unter Fedora (merkwürdigerweise aber nicht unter RHEL) wird SSH-Port-Forwarding durch eine SELinux-Regel blockiert. Wenn Sie also Fedora als KVM-Host einsetzen und Ihre virtuellen Maschinen auf einem anderen Rechner via SSH plus VNC steuern möchten, müssen Sie auf dem KVM-Host das Port-Forwarding explizit erlauben. Dazu führen Sie dieses Kommando aus:

root# setsebool -P sshd_forward_ports 1

Eine dritte Variante besteht darin, die VNC-Kommunikation über die Konfigurationsdatei »/etc/libvirt/qemu.conf« mit TSL zu verschlüsseln. Das setzt allerdings TSL-kompatible VNC-Viewer voraus. Tipps zur richtigen Konfiguration finden Sie unter [1].

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019