1.2.21. 레거시 SPICE Cipher 설정

SPICE 콘솔은 기본적으로 암호화 문자열과 함께 FIPS 호환 암호화를 사용합니다. 기본 SPICE 암호화 문자열: kECDHE+FIPS:kDHE+FIPS:kRSA+FIPS:!eNULL:!aNULL

이 문자열은 일반적으로 충분합니다. 그러나 이전 운영 체제 또는 SPICE 클라이언트가 있는 가상 머신이 있는 경우 하나 또는 다른 클라이언트가 FIPS 호환 암호화를 지원하지 않는 경우 약한 암호화 문자열을 사용해야 합니다. 그렇지 않으면 기존 클러스터에 새 클러스터 또는 새 호스트를 설치하고 해당 가상 머신에 연결을 시도하는 경우 연결 보안 오류가 발생할 수 있습니다.

Ansible 플레이북을 사용하여 암호화 문자열을 변경할 수 있습니다.

암호화 문자열 변경

  1. Manager 시스템에서 /usr/share/ovirt-engine/playbooks 디렉토리에 파일을 만듭니다. 예를 들면 다음과 같습니다.

    # vim /usr/share/ovirt-engine/playbooks/change-spice-cipher.yml
  2. 파일에 다음을 입력하고 저장합니다.

    name: oVirt - setup weaker SPICE encryption for old clients
    hosts: hostname
    vars:
      host_deploy_spice_cipher_string: 'DEFAULT:-RC4:-3DES:-DES'
    roles:
      - ovirt-host-deploy-spice-encryption
  3. 방금 만든 파일을 실행합니다.

    # ansible-playbook -l hostname /usr/share/ovirt-engine/playbooks/change-spice-cipher.yml

또는 다음과 같이 host_deploy_spice_cipher_string 과 함께 --extra-vars 옵션을 사용하여 Ansible 플레이북 ovirt-host-deploy 를 사용하여 호스트를 재구성할 수 있습니다.

# ansible-playbook -l hostname \
  --extra-vars host_deploy_spice_cipher_string=”DEFAULT:-RC4:-3DES:-DES” \
  /usr/share/ovirt-engine/playbooks/ovirt-host-deploy.yml