Virtualisation:Libvirt
De Hegyd Doc.
(Différences entre les versions)
(→Daemon) |
|||
| (3 versions intermédiaires masquées) | |||
| Ligne 1 : | Ligne 1 : | ||
| - | == | + | == Configuration == |
| + | === Daemon === | ||
| + | * Activer et préciser l'adresse d'écoute de libvirt | ||
| + | <pre> | ||
| + | sed -ie 's/libvirtd_opts="-d"/libvirtd_opts="-d -l"/' /etc/default/libvirt-bin | ||
| + | sed -ie "s/#listen_addr = \"192\.168\.0\.1\"/listen_addr = \"$(ip addr show | grep "inet.*172.16" | sed -e 's/^\s\+inet\s\([^\/]\+\).*$/\1/')\"/" /etc/libvirt/libvirtd.conf | ||
| + | </pre> | ||
| + | |||
| + | * Pour Debian 9, plus besoin du "-d" au lancement : | ||
| + | <pre> | ||
| + | sed -ie 's/libvirtd_opts="-d"/libvirtd_opts="-l"/' /etc/default/libvirt-bin | ||
| + | sed -ie "s/#listen_addr = \"192\.168\.0\.1\"/listen_addr = \"$(ip addr show | grep "inet.*172.16" | sed -e 's/^\s\+inet\s\([^\/]\+\).*$/\1/')\"/" /etc/libvirt/libvirtd.conf | ||
| + | </pre> | ||
| + | |||
| + | === TLS === | ||
* Générer le certificat sur sysadmin | * Générer le certificat sur sysadmin | ||
'''Penser à ne mettre que le nom court (sortie de "hostname -s") de l'hôte de virtualisation pour le CN''' | '''Penser à ne mettre que le nom court (sortie de "hostname -s") de l'hôte de virtualisation pour le CN''' | ||
Version actuelle en date du 20 octobre 2019 à 15:19
Sommaire |
[modifier] Configuration
[modifier] Daemon
- Activer et préciser l'adresse d'écoute de libvirt
sed -ie 's/libvirtd_opts="-d"/libvirtd_opts="-d -l"/' /etc/default/libvirt-bin sed -ie "s/#listen_addr = \"192\.168\.0\.1\"/listen_addr = \"$(ip addr show | grep "inet.*172.16" | sed -e 's/^\s\+inet\s\([^\/]\+\).*$/\1/')\"/" /etc/libvirt/libvirtd.conf
- Pour Debian 9, plus besoin du "-d" au lancement :
sed -ie 's/libvirtd_opts="-d"/libvirtd_opts="-l"/' /etc/default/libvirt-bin sed -ie "s/#listen_addr = \"192\.168\.0\.1\"/listen_addr = \"$(ip addr show | grep "inet.*172.16" | sed -e 's/^\s\+inet\s\([^\/]\+\).*$/\1/')\"/" /etc/libvirt/libvirtd.conf
[modifier] TLS
- Générer le certificat sur sysadmin
Penser à ne mettre que le nom court (sortie de "hostname -s") de l'hôte de virtualisation pour le CN
cd /etc/ssl/ca CA -newreq-nodes CA -sign
Il est d'usage de copier les certificats (cert,key,csr) générés dans newcerts/ avec le nom de la machine concerné.
- Déplacer les certificats (newkey.pem,newcert.pem et cacert.pem) sur le nouveau vapps
- Créer l’arborescence de certificat pour libvirt et y déplacer les certificats
mkdir /etc/pki/CA -p mkdir /etc/pki/libvirt/private -p chmod 500 /etc/pki/libvirt/private tar -xvf ~/certs.tar -C /tmp/ mv /tmp/cacert.pem /etc/pki/CA/cacert.pem mv /tmp/newcert.pem /etc/pki/libvirt/clientcert.pem cp /etc/pki/libvirt/clientcert.pem /etc/pki/libvirt/servercert.pem mv /tmp/newkey.pem /etc/pki/libvirt/private/clientkey.pem cp /etc/pki/libvirt/private/clientkey.pem /etc/pki/libvirt/private/serverkey.pem chmod 500 /etc/pki/libvirt/private/ chmod 400 /etc/pki/libvirt/private/*
- Tester la connexion tls
Depuis un autre hôte, dans une console virsh :
connect qemu+tls://<NOM-HOST-DEST>/system
[modifier] Migration live
Dans la console virsh de l'hôte de sur lequel la VM tourne :
migrate --live --p2p --persistent <NOM-VM> qemu+tls://<NOM-HOST-DEST>/system
