Virtualisation:Libvirt

De Hegyd Doc.

Version actuelle en date du 20 octobre 2019 à 15:19

[modifier] Configuration

[modifier] Daemon

• Activer et préciser l'adresse d'écoute de libvirt

sed -ie 's/libvirtd_opts="-d"/libvirtd_opts="-d -l"/' /etc/default/libvirt-bin
sed -ie "s/#listen_addr = \"192\.168\.0\.1\"/listen_addr = \"$(ip addr show | grep "inet.*172.16" | sed -e 's/^\s\+inet\s\([^\/]\+\).*$/\1/')\"/" /etc/libvirt/libvirtd.conf

• Pour Debian 9, plus besoin du "-d" au lancement :

sed -ie 's/libvirtd_opts="-d"/libvirtd_opts="-l"/' /etc/default/libvirt-bin
sed -ie "s/#listen_addr = \"192\.168\.0\.1\"/listen_addr = \"$(ip addr show | grep "inet.*172.16" | sed -e 's/^\s\+inet\s\([^\/]\+\).*$/\1/')\"/" /etc/libvirt/libvirtd.conf

[modifier] TLS

• Générer le certificat sur sysadmin

Penser à ne mettre que le nom court (sortie de "hostname -s") de l'hôte de virtualisation pour le CN

cd /etc/ssl/ca
CA -newreq-nodes
CA -sign

Il est d'usage de copier les certificats (cert,key,csr) générés dans newcerts/ avec le nom de la machine concerné.

• Déplacer les certificats (newkey.pem,newcert.pem et cacert.pem) sur le nouveau vapps
• Créer l’arborescence de certificat pour libvirt et y déplacer les certificats

mkdir /etc/pki/CA -p
mkdir /etc/pki/libvirt/private -p
chmod 500 /etc/pki/libvirt/private
tar -xvf ~/certs.tar -C /tmp/
mv /tmp/cacert.pem /etc/pki/CA/cacert.pem
mv /tmp/newcert.pem /etc/pki/libvirt/clientcert.pem
cp /etc/pki/libvirt/clientcert.pem /etc/pki/libvirt/servercert.pem
mv /tmp/newkey.pem /etc/pki/libvirt/private/clientkey.pem
cp /etc/pki/libvirt/private/clientkey.pem /etc/pki/libvirt/private/serverkey.pem
chmod 500 /etc/pki/libvirt/private/
chmod 400 /etc/pki/libvirt/private/*

• Tester la connexion tls

Depuis un autre hôte, dans une console virsh :

connect qemu+tls://<NOM-HOST-DEST>/system

[modifier] Migration live

Dans la console virsh de l'hôte de sur lequel la VM tourne :

migrate --live --p2p --persistent <NOM-VM> qemu+tls://<NOM-HOST-DEST>/system