Cara memilih konsol virtual

Salah satu keputusan arsitek awan yang perlu dibuat mengenai konfigurasi layanan Compute adalah apakah akan digunakan VNC atau SPICE.

Virtual Network Computer (VNC)

OpenStack dapat dikonfigurasi untuk menyediakan akses konsol remote desktop ke beberapa instance penyewa dan administrator menggunakan protokol Virtual Network Computer (VNC).

Capabilities

  1. Dashboar OpenStack (horizon) dapat menyediakan konsol VNC untuk instance langsung di halaman web menggunakan klien HTML5 noVNC. Ini memerlukan layanan nova-novncproxy untuk menjembatani dari jaringan publik ke jaringan manajemen.

  2. Utilitas baris perintah nova dapat mengembalikan URL untuk konsol VNC untuk diakses oleh klien VNC nova Java. Ini memerlukan layanan nova-xvpvncproxy untuk menjembatani dari jaringan publik ke jaringan manajemen.

Pertimbangan keamanan

  1. Layanan nova-novncproxy dan nova-xvpvncproxy secara default terbuka menghadap ke publik port yang token dikonfirmasi.

  2. Secara default, lalu lintas desktop jarak jauh tidak dienkripsi. TLS dapat diaktifkan untuk mengenkripsi lalu lintas VNC. Lihat Pengantar TLS dan SSL untuk rekomendasi yang tepat.

Bibliografi

  1. blog.malchuk.ru, OpenStack VNC Security. 2013. Secure Connections to VNC ports

  2. OpenStack Mailing List, [OpenStack] nova-novnc SSL configuration - Havana. 2014. OpenStack nova-novnc SSL Configuration

  3. Redhat.com/solutions, Using SSL Encryption with OpenStack nova-novacproxy. 2014. OpenStack nova-novncproxy SSL encryption

Simple Protocol for Independent Computing Environments (SPICE)

Sebagai alternatif untuk VNC, OpenStack menyediakan akses remote desktop ke mesin virtual tamu menggunakan protokol Simple Protocol for Independent Computing Environments (SPICE).

Capabilities

  1. SPICE didukung oleh OpenStack Dashboard (horizon) langsung pada halaman web instance. Ini membutuhkan layanan nova-spicehtml5proxy.

  2. Utilitas command-line nova dapat mengembalikan URL untuk konsol SPICE untuk akses oleh klien SPICE-html.

Keterbatasan

  1. Meski SPICE memiliki banyak kelebihan dibanding VNC, integrasi browser spice-html5 saat ini tidak memungkinkan administrator memanfaatkan keuntungannya. Untuk memanfaatkan fitur SPICE seperti multi-monitor, melewati USB, sebaiknya administrator menggunakan klien SPICE mandiri di dalam jaringan manajemen.

Pertimbangan keamanan

  1. Layanan nova-spicehtml5proxy secara default membuka port yang menghadap ke publik yang diberi tanda bukti.

  2. Fungsionalitas dan integrasi masih terus berkembang. Kami akan mengakses fitur di rilis berikutnya dan membuat rekomendasi.

  3. Seperti kasus VNC, saat ini kami merekomendasikan penggunaan SPICE dari jaringan manajemen selain membatasi penggunaan beberapa individu.

Bibliografi

  1. OpenStack Admin Guide. SPICE Console. SPICE Console.

  2. bugzilla.redhat.com, Bug 913607 - RFE: Support Tunnelling SPICE over websockets. 2013. RedHat bug 913607.