| Následující verze | Předchozí verze |
| skoleni:uzivatelske_zaklady_virtualizace [2019/05/04 10:57] – Prvni, velice hruba, osnova nert | skoleni:uzivatelske_zaklady_virtualizace [2022/11/14 12:26] (aktuální) – upraveno mimo DokuWiki 127.0.0.1 |
|---|
| |
| ===== Zakladni minimum ===== | ===== Zakladni minimum ===== |
| Je potreba vedet, ze je nejaka HW virtualizace, je to rychly, ale da se tim emulovat jen stejna nebo velmi podobna architekture (i686 na x86_64), v SW toho jde vic, ale je to pomalejsi. Mozna ukazat rozdil jak bootuje TCG masina (bez KVM). | Je potreba vedet, ze je nejaka HW virtualizace, je to rychly, ale da se tim emulovat jen stejna nebo velmi podobna architekture (i686 na x86_64), v SW toho jde vic, ale je to pomalejsi. Mozna ukazat rozdil jak bootuje TCG masina (bez KVM). Taky se hodi zminit, ze je neco jako nested virt a muzeme pustit KVM virtualku v KVM virtualce. Jde to i dal, ale pak se to exponencialne zpomaluje (pro srandu: |
| | https://rwmj.wordpress.com/2014/07/03/super-nested-kvm/) |
| |
| ===== Instalace ===== | ===== Instalace ===== |
| Máme spoustu možností, ale abysme nemuseli řešit co a jak, tak pouzijeme to, co mame. To znamena, ze když na základní Workstation instalaci kliknu na aktivity a napížu "virt", tak mi vyskočí "Boxy" (Gnome Boxes), tam je unattended instalace fakt otazkou par kliknuti. Je potreba mit Fedoru 30, pristi tyden by tam mela na unattended instalaci byt iFedora 30 jako guest. Jeste zajimavejsi mi prijde, ze to stejne jde za pomoci virt-installu, ale jeste to neni releasnute, takze spis jim to mozna ukazat jen u sebe co bude mozne i v budoucnu (je potreba mit virt-install a libosinfo z gitu, na to druhe mozna staci virt-preview od 4.5.2019, ale na to prvni ne, protoze jeste nebyl release). | Máme spoustu možností, ale abysme nemuseli řešit co a jak, tak pouzijeme to, co mame. To znamena, ze když na základní Workstation instalaci kliknu na aktivity a napíšu "virt", tak mi vyskočí "Boxy" (Gnome Boxes), tam je unattended instalace fakt otazkou par kliknuti (je potreba aspon fedora 30). Jeste zajimavejsi mi prijde, ze to stejne jde za pomoci virt-installu (v manualove strance staci hledat "unattended"). To se da pekne automatizovat. Dalsi vec, jeste rychlejsi, je pouzit zbuildeny image -- virt-builder ma na to spoustu moznosti. Unattended instalace pouziva kickstart (popr. preseed), coz je v podstate konfiguracni soubor pro instalator, muze si ho kazdy napsat, automatizovat instalaci nekolika ruznych stroju atd. Po instalaci je vygenerovany kickstart v /root, takze se da nainstalovat jedna masina normalne, vsechno si u toho nastavit, pak vzit ten kickstart co tam zustane a pouzit ho na instalaci. pokud mame kickstart, tak unattended instalace pres virt-install uz ma jen tu vyhodu, ze muze sama vymyslet kolik pameti, disku atd. pro tu VM nastavi. |
| |
| ==== Vzdaleny pristup ===== | ==== Vzdaleny pristup ===== |
| |
| ==== Bezpecnost #1 ===== | ==== Bezpecnost #1 ===== |
| Co vsechno by nekdo mohl nejak "napadnout". kazdy jeden vzdaleny pristup ma nejake moznosti, VNC (bud prava na unix socketu nebo heslo, popr. na jedno pouziti - smazane po pripojeni), SPICE (heslo, prip. na jedno pouziti, ale uz umit TLS), ssh (slaba hesla), stejne jak verime tomu kdo ma pristup na roota na pocitaci kde mame neco jako uzivatel, tak stejne tak musime verit tomu kdo vlastni pocitac na kterem nam pustil VM (modulo SEV, atd., ale to uz je extrem). | Co vsechno by nekdo mohl nejak "napadnout". kazdy jeden vzdaleny pristup ma nejake moznosti, VNC (bud prava na unix socketu nebo heslo, popr. na jedno pouziti - smazane po pripojeni), SPICE (heslo, prip. na jedno pouziti, ale uz umit TLS), ssh (slaba hesla), stejne jak verime tomu kdo ma pristup na roota na pocitaci kde mame neco jako uzivatel, tak stejne tak musime verit tomu kdo vlastni pocitac na kterem nam pustil VM (modulo SEV/SGX, atd., ale to uz je extrem, to tu popisovat nebudem, jen aby kdyztak nekdo vedel kde si zjistit detaily). |
| Jak se zmenila bezpecnost kdyz jsem si vytvorili klic? Jak kdyz jsme ho pridali do keyringu/agenta? | Jak se zmenila bezpecnost kdyz jsem si vytvorili klic? Jak kdyz jsme ho pridali do keyringu/agenta? |
| Da se toho tu udelat i vic, ale klidne bych pak udelal bezpecnost #2 po par dalsich odstavcich/kapitolach. | Da se toho tu udelat i vic, ale klidne bych pak udelal bezpecnost #2 po par dalsich odstavcich/kapitolach. |
| |
| ==== Zachovani stavu ===== | ==== Zachovani stavu ===== |
| Nevim, jestli boxes neco takoveho ma, popr. jestli ty masiny z boxes budeme moct ovladat i pres neco jineho (virt-manager, virsh, cockpit). Myslim, ze pouzivaji tranzientni domeny jenom, tak to mozna nepujde, to je potreba jeste nejak vymyslet. Zkratka je potreba ukazat jak se dela snapshot, jak se na nej revertuje (mozna rict, ze je rozdil mezi bezicim a nebezicim snapshotem), idealni na vyzkouseni ''rm -rf /'' (a ukazky, ze i kdyz pouziji ''-f'' (coz by nemeli jen tak), tak uz to tak jednoduche neni (a toho, jak to nekdy stejne jednoduche byt muze, ze Eriku ;-) )), nejaky srandy k tomu atd. | Nevim, jestli boxes neco takoveho ma, popr. jestli ty masiny z boxes budeme moct ovladat i pres neco jineho (virt-manager, virsh, cockpit). Myslim, ze pouzivaji tranzientni domeny jenom, tak to mozna nepujde, to je potreba jeste nejak vymyslet. Ale mam vedle sebe na to cloveka, tak kdyby bylo potreba, tak muzu zjistit. Zkratka je potreba ukazat jak se dela snapshot (checkpoint), jak se na nej revertuje (mozna rict, ze je rozdil mezi bezicim a nebezicim snapshotem), idealni na vyzkouseni ''rm -rf /'' (a ukazky, ze i kdyz pouziji ''-f'' (coz by nemeli jen tak), tak uz to tak jednoduche neni (a toho, jak to nekdy stejne jednoduche byt muze, ze Eriku ;-) )), nejaky srandy k tomu atd. (na zaujmuti jich a i napad pro ne na zaujmuti studentu). |
| |
| ==== Síťování ==== | ==== Síťování ==== |
| Ssh je pripojene po siti. Virtualni sit je na hostovskem pocitaci. Ukazat s ''ip l'', ''ip a'', ''ip r'', zminit nejake stare veci jako ifconfig, brctl, ale spis preferovat iproute2. Ikazat co je kam pripojeny, co ma ktera VMka, jak to vypada z jejiho pohledu, atd. Nevim, jestli pres Boxes nebude v qemu jenom SLIRP (-net user), snad ne a pouzivat o nejaky bridge-helper aspon. | Ssh je pripojene po siti. Virtualni sit je na hostovskem pocitaci. Ukazat s ''ip l'', ''ip a'', ''ip r'', zminit nejake stare veci jako ifconfig, brctl, ale spis preferovat iproute2. Ukazat co je kam pripojeny, co ma ktera VMka, jak to vypada z jejiho pohledu, atd. Nevim, jestli pres Boxes nebude v qemu jenom SLIRP (-net user), snad ne a pouziva to nejaky bridge-helper aspon. Ale cockpit/virt-manager bude mit pristup na qemu:///system, takze to pujde urcite. |
| |
| Dns, dhcp, atd. Bezi na hostovi, ukazat (zakladne), nacmarat na tabuli, popsat jak se VMka dostane na externi sit. | Dns, dhcp, atd. Bezi na hostovi, ukazat (zakladne), nacmarat na tabuli, popsat jak se VMka dostane na externi sit. |
| Firewall tim padem funguje, da se ukazat jak neco zakazat/povolit (nejakou sluzbu), popr. kdyz si odstrihnem SSH, tak to opravit pres cockpit/virt-viewer. | Firewall tim padem funguje, da se ukazat jak neco zakazat/povolit (nejakou sluzbu), popr. kdyz si odstrihnem SSH, tak to opravit pres cockpit/virt-viewer. |
| |
| ==== Bezpecnost #2 ==== | ==== Zbytek ==== |
| Vsechny dalsi bezpecnostni veci na co nebyl cas predtim. | Zminit, ze automatizovat jde fakt dost veci, sprava a nastaveni (ansible, extra parametry virt-builderu atd.) se daji pouzit na vyplneni casu, ale ze zkusenosti si myslim, ze budem radi kdyz se stihnou ty zaklady. Ale pro info na to budeme mit dalsi skoleni. |
| | |
| Vic me zatim nenapada, musime jit na obed. | |