So wählen Sie virtuelle Konsolen aus

Eine Entscheidung, die ein Cloud-Architekt in Bezug auf Compute Service-Konfiguration machen muss, ist, ob :term:`VNC <Virtual Network Computing (VNC)>`oder :term:`SPICE <Simple Protocol for Independent Computing Environments (SPICE)>`zu verwenden ist.

Virtual Network Computer (VNC)

OpenStack kann so konfiguriert werden, dass der Remote-Desktop-Konsolenzugriff auf Instanzen für Tenants und Administratoren erfolgt, die das VNC-Protokoll (Virtual Network Computer) verwenden.

Fähigkeiten

  1. Das OpenStack Dashboard (Horizont) kann eine VNC-Konsole für Instanzen direkt auf der Webseite mit dem HTML5 noVNC Client bereitstellen. Dies erfordert, dass der ``nova-novncproxy``Service das öffentlichen Netz zum Management-Netzwerk überbrückt.

  2. Das ``nova``Befehlszeilenprogramm kann eine URL für die VNC-Konsole für den Zugriff durch den nova Java VNC Client zurückgeben. Dies erfordert den ``nova-xvpvncproxy``Service, um vom öffentlichen Netz zum Management- Netzwerk zu überbrücken.

Sicherheitsüberlegungen

  1. Die nova-novncproxy``und ``nova-xvpvncproxy-Dienste öffnen standardmäßig öffentlich zugängliche Ports, die authentifiziert werden.

  2. Standardmäßig ist der Remote-Desktop-Verkehr nicht verschlüsselt. TLS kann aktiviert werden, um den VNC-Verkehr zu verschlüsseln. Siehe ../ secure-communication/Einführung-to-ssl-and-tls für entsprechende Empfehlungen.

Literaturverzeichnis

  1. blog.malchuk.ru, OpenStack VNC Sicherheit. 2013. Sichere Verbindungen zu VNC-Ports

  2. OpenStack Mailing List, [OpenStack] nova-novnc SSL Konfiguration - Havanna. 2014. `OpenStack nova-novnc SSL-Konfiguration <http://lists.openstack.org/pipermail/openstack/2014-February/005357.html> `_

  3. Redhat.com/solutions, mit SSL-Verschlüsselung mit OpenStack nova-novacproxy. 2014. OpenStack nova-novncproxy SSL-Verschlüsselung

Einfaches Protokoll für unabhängige Rechenumgebungen (SPICE)

Als Alternative zu VNC bietet OpenStack den Remote-Desktop-Zugriff auf virtuelle Gastcomputer mit dem Protokoll „Simple Protocol for Independent Computing Environments“ (SPICE).

Fähigkeiten

  1. SPICE is supported by the OpenStack Dashboard (horizon) directly on the instance web page. This requires the nova-spicehtml5proxy service.

  2. Das nova-Befehlszeilenprogramm kann eine URL für die SPICE-Konsole für den Zugriff durch einen SPICE-html-Client zurückgeben.

Einschränkungen

  1. Obwohl SPICE viele Vorteile gegenüber VNC hat, ermöglicht die Spice-html5 Browser-Integration derzeit nicht, dass Administratoren die Vorteile nutzen können. Um die Vorteile von SPICE-Funktionen wie Multi-Monitor, USB-Durchlauf zu nutzen, empfehlen wir Administratoren, einen eigenständigen SPICE-Client im Management-Netzwerk zu nutzen.

Sicherheitsüberlegungen

  1. Der ``nova-spicehtml5proxy``Service öffnet standardmäßig öffentlich zugängliche Ports, die authentifiziert werden.

  2. Die Funktionalität und Integration entwickeln sich immer noch. Wir werden in der nächsten Version auf die Funktionen zugreifen und Empfehlungen abgeben.

  3. Wie es bei VNC der Fall ist, empfehlen wir derzeit, SPICE aus dem Management-Netzwerk zu verwenden, zusätzlich zur Begrenzung der Nutzung auf wenige Personen.

Literaturverzeichnis

  1. OpenStack Admin Guide. SPICE Konsole. `SPICE Konsole <https://docs.openstack.org/admin-guide/compute-remote-console-access.html> `_.

  2. bugzilla.redhat.com, Bug 913607 - RFE: Stützen Tunneling SPICE über Websockets. 2013. RedHat Bug 913607.