3.2.3.2. Средства поддержки SPICE

Для поддержки протокола SPICE в ОП TIONIX необходимо:

  • включить поддержку SPICE в Nova [1];
  • установить в клиентскую систему модуль TIONIX.VDIclient;
  • обновить пакеты модулей TIONIX.VDIserver и TIONIX.Client.

ВАЖНО.

Для прежних версий ОП TIONIX (2.6, 2.7 или 2.8) рекомендуется выполнить обновление платформы по инструкциям, изложенным в документе Инструкция по обновлению ОП TIONIX из комплекта эксплуатационной документации.

Также, на всех вычислительных узлах, необходимо установить TIONIX.Agent и настроить тип – spice_proxy.

Примечания.

HAProxy и интерпретатор Lua устанавливаются на вычислительных узлах.

Запуском сервиса HAProxy управляет TIONIX.Agent.

Для того, чтобы HAProxy мог узнать, тот ли пользователь подключился к сессии, ему нужно указать специально подготовленный скрипт Lua. Скачайте RPM-пакет скрипта Lua tionix-haproxy-extensions.

Конфигурации фронтенда и бэкенда генерируются автоматически, средствами TIONIX.Agent. Настраивать вручную в конфигурациях ничего не следует.

Внимание.

Для подключения к уже существующим виртуальным машинам необходимо выполнить жесткую перезагрузку, чтобы новые настройки были применены. Для вновь созданных виртуальных машин параметры SPICE уже будут указаны.

3.2.3.2.1. Терминальный сервер

На стороне бэкенда, в гостевой ОС, используемой для обслуживания виртуального рабочего стола, должен функционировать (терминальный) сервер SPICE. Описание настройки (платформы/гипервизора) изложено в документации на модуль TIONIX.VDIserver. Если в инфраструктуре ОП TIONIX развернуто более одного ВУ (множество гипервизоров), то настройка должна быть выполнена единообразно, для каждого ВУ (гипервизора).

Дополнительное взаимодействие между гипервизором и гостевой ОС осуществляет ПО агента (Spice-Agent). Этот (необязательный) компонент расширяет возможности управления гостевой ОС. Например, когда востребовано точное позиционирование манипулятора типа «мышь» и свободное переключение между клиентом и гостевой ОС. Кроме того, агент Spice содержит функциональность кармана обмена и выравнивание разрешения экрана на стороне гостевой ОС, когда клиент переключает её в полноэкранный режим.

3.2.3.2.2. Терминальный клиент

TIONIX.VDIclient при подключении к гостевым ОС использует терминальный клиент. Для каждого типа гостевой ОС (Windows или Linux) существует своя реализация клиента, используемого при SPICE-доступе к виртуальному рабочему столу.

В качестве терминального клиента используется remote-viewer – утилита, входящая в состав пакета virt-viewer. Сторона, на которой утилита выполняется, принято называть фронтэндом.

ПО терминального клиента для Windows (версии 9) устанавливается в составе модуля TIONIX.VDIclient.

Внимание.

По умолчанию в Windows 10 функционирует брандмауэр (сетевой фильтр). Может понадобиться разрешение на работу приложений remote-viewer и gdbus с (частной) сетью. Также должно быть установлено разрешение для OpenVPN, обеспечивающему туннельное подключение к частной сети (облачной инфраструктуре).

3.2.3.2.2.1. Windows (фронтэнд)

Для получения актуальной версии рекомендуется посетить веб-сайт:

32-/64-разрядные версии пакетов доступны по ссылкам:

  • virt-viewer-x86-<версия>-1.0.msi;
  • virt-viewer-x64-<версия>-1.0.msi.

Скачайте пакет соответствующей выбранной ОС Windows разрядности и установите его (двойной клик мышью на .msi-файле запускает установщик Windows).

После установки потребуется настроить системное окружение – переменная среды PATH должна содержать путь к утилитам, распакованным в папку C:\Program Files\VirtViewer v10.0-256\bin.

После настройки необходимо проверить доступность клиента (утилиты), открыв командную строку и выполнив в ней команду:

remote-viewer -help

Если будет выведена справка об использовании, значит, что клиент доступен (посредством пути, включенном в переменную PATH).

3.2.3.2.2.2. Linux (фронтэнд)

В зависимости от выбранного дистрибутива ОС Linux, потребуется выполнить команду:

Fedora/CentOS: # yum install virt-manager

Debian/Ubuntu: # apt-get install virt-manager

После установки проверьте доступность утилиты, выполнив команду:

remote-viewer -help

Если справка об использовании не выводится, то потребуется проверить, был ли установлен пакет. Выполните одну из команд:

# Fedora/CentOS: # rpm -qi virt-manager

# Debian/Ubuntu: # dpkg -l virt-manager

Так как утилита изначально не поддерживает передачу токена при работе по TCP, следует использовать пропатченную версию утилиты терминального клиента – remote-viewer. Она поставляется в составе модуля TIONIX.VDIclient.

Внимание.

Пропатченная версия терминального клиента устанавливается вместе с пакетом tionix-vdi-client из репозитория (Раздел 3.2.4.2.2).

3.2.3.2.3. Гостевой агент SPICE

Архитектура Spice требует, чтобы в гостевой ОС было установлено ПО агента. Загрузка ПО может быть выполнена переходом по URL-ссылке:

Доступны два вида дистрибутивных файлов:

  • .msi-пакет, для штатного инсталлятора Windows [2];
  • самораспаковывающийся exe-файл, содержащий Мастер установки.
И тот и другой виды доступны как для 32-разрядной так и для 64-разрядной архитектур гостевой ОС.

Чтобы коммуникация с гостевым агентом была установлена, необходимо выполнить настройку поддержки протокола SPICE со стороны гипервизора (ВУ).

3.2.3.2.4. Гостевые дополнения (Windows)

Для определенного типа гостевой ОС рекомендуется скачать установочные файлы гостевого инструментария Windows.

В качестве гостевого дополнения может быть использован spice-nsis [#], содержащий скрипты … Это включает ПО агента – spice-vdagent, видео-драйвер QXL и драйвер vioserial, используемый агентом (для взаимодействия с хостом виртуализации).

Скрипт, запускаемый после распаковки гостевого инструментария, устанавливает программы/драйверы и затем проверяет что они запускаются и корректно «подхватываются» гостевой операционной системой (Windows).

3.2.3.2.5. Шифрование трафика

Безопасность доступа TIONIX VDI клиента может быть усилена использованием SSL-сертификата. После того, как сертификат выписан в Центре сертификации, администратор проекта передает его пользователю наиболее безопасным способом.

Сертификат должен постоянно храниться и быть доступным на момент подключения к серверу (TIONIX.VDIserver) и брокеру, разрешающему подключение к виртуальному рабочему столу (VDI-машине).

Сноски

[1]https://docs.openstack.org/nova/queens/admin/remote-console-access.html
[2]https://win10.support/ru/msiexec-exe-установщик-windows/
[3]https://www.spice-space.org/download/windows/spice-guest-tools/spice-guest-tools-latest.exe
[4]https://gitlab.freedesktop.org/spice/linux/vd_agent
[5]https://www.x.org/wiki/UserDocumentation/