E.3. FIPS에 대해 암호화된 VNC 콘솔 활성화

RHV(Red Hat Virtualization) 관리자 및 FIPS가 활성화된 호스트에서 작동하도록 암호화된 VNC 콘솔을 설정할 수 있습니다.

암호화된 VNC 콘솔을 설정하려면 다음 절차를 완료합니다.

E.3.1. VNC 암호화를 활성화하도록 클러스터 구성

사전 요구 사항

  • 클러스터에서 FIPS를 활성화해야 합니다.

절차

  1. 관리 포털에서 Compute(컴퓨팅) Clusters(클러스터) 를 클릭합니다.
  2. VNC 암호화를 활성화하려는 클러스터를 선택하고 편집을 클릭합니다. Edit Cluster(클러스터 편집 ) 창이 열립니다.
  3. Console(콘솔 ) 탭을 선택합니다.
  4. Enable VNC Encryption 확인란을 선택하고 OK(확인 )를 클릭합니다.

E.3.2. 각 호스트에 대해 VNC SASL Ansible 플레이북 실행

절차

  1. 관리 포털에서 FIPS 지원 호스트를 유지 관리 모드로 설정합니다.

    1. Compute(컴퓨팅) Hosts(호스트) 를 클릭합니다.
    2. Virtual Machines(가상 시스템 ) 열에서 각 호스트에 0개의 가상 시스템이 있는지 확인합니다.

      필요한 경우 호스트에서 가상 시스템을 제거하려면 실시간 마이그레이션을 수행합니다. 호스트 간 가상 머신 마이그레이션 을 참조하십시오.

    3. 각 호스트를 선택하고 ManagementMaintenance (관리 유지 관리) 및 OK (확인)를 클릭합니다.
  2. Manager가 실행 중인 시스템의 명령줄에 연결합니다.

    • 독립 실행형 관리자:

      # ssh root@rhvm
    • 셀프 호스트 엔진: ComputeVirtual Machines (가상 시스템)를 클릭하여 기본적으로 HostedEngine 이라는 자체 호스팅 엔진 가상 시스템을 선택한 다음 Console (콘솔)을 클릭합니다.
  3. 각 호스트에 대해 VNC SASL Ansible 플레이북을 실행합니다.

    # cd /usr/share/ovirt-engine/ansible-runner-service-project/project/
    # ansible-playbook --ask-pass --inventory=<hostname> ovirt-vnc-sasl.yml <1>
    Compute지정합니다.
  4. 호스트를 선택하고 InstallationReinstall (재설치)을 클릭합니다.
  5. 재설치 후 호스트를 선택하고 ManagementRestart (다시 시작)를 클릭합니다.
  6. 재부팅 후 호스트를 선택하고 ManagementActivate (활성화) 를 클릭합니다.
VNC SASL Ansible Playbook 오류 메시지

VNC SASL Ansible 플레이북을 실행할 때 다음 오류 메시지와 함께 작업이 실패할 수 있습니다.

Using a SSH password instead of a key is not possible because Host Key checking is enabled and sshpass does not support this.  Please add this host’s fingerprint to your known_hosts file to manage this host.

이 문제를 해결하려면 다음 중 하나를 수행하여 호스트 키 검사를 비활성화합니다.

  • /etc/ansible/ansible.cfg에서 다음 행의 주석을 제거하여 호스트 키 검사를 영구적으로 비활성화합니다.

    #host_key_checking = False
  • 다음 명령을 실행하여 호스트 키 검사를 일시적으로 비활성화합니다.

    export ANSIBLE_HOST_KEY_CHECKING=False

E.3.3. 관리자의 CA 인증서를 신뢰하도록 Remote Viewer 구성

RHV Manager의 CA(인증 기관)를 신뢰하도록 클라이언트 시스템, virt -viewer 또는 remote-viewer 에서 Remote Viewer 콘솔을 구성합니다.

절차

  1. https://<engine_address>/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA 로 이동합니다.
  2. 모든 신뢰 설정을 활성화합니다.
  3. VNC 콘솔을 실행하려는 클라이언트 시스템에서 인증서 파일의 디렉터리를 생성합니다.

    $ mkdir ~/.pki/CA
    주의

    이 단계를 수행하면 mkdir: 디렉토리 '/home/example_user/.pki/CA'를 생성할 수 없습니다: 파일이 exists, 다음 단계에서 ~/.pki/CA/cacert.pem 을 덮어쓰지 않도록 예방합니다. 예를 들어, 파일 이름에 현재 날짜를 포함합니다.

  4. 인증서를 다운로드합니다.

    $ curl -k -o ~/.pki/CA/cacert-<today’s date>.pem '\https://<engine_address>/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA'
  5. 브라우저에서 인증 기관을 설치합니다.

  6. 클라이언트 시스템에 SASL SCRAM 라이브러리를 설치합니다.

    $ sudo dnf install cyrus-sasl-scram

검증 단계

  1. 생성한 FIPS 지원 호스트 중 하나에서 가상 머신을 실행합니다.
  2. VNC 콘솔을 사용하여 가상 머신에 연결합니다.