Fedora-Fr

GOGI · 2023-09-29T19:46:11+00:00

Bonsoir à tous, J’ai crée une machine virtuelle sur mon serveur à l’aide de Cockpit comme interface graphique, mais je n’arrive pas à y accéder à distance....

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Fedora Server--Machine Virtuelle : accès impossible par bureau distant

VINDICATORs

adress=0.0.0.0

ou dans les options de ton interface graphique de modifier l’option “adress” pour ton “affichage” Spice/VNC. (du moins sur virt-manager c’est comme ça).

GOGI

VINDICATORs adress=0.0.0.0

ou dans les options de ton interface graphique de modifier l’option “adress” pour ton “affichage” Spice/VNC. (du moins sur virt-manager c’est comme ça).

D’accord pour “address=0.0.0.0” mais où devrais-je dans ce cas de figure selon toi ajouter ça? Dans le fichier de config de virbr0? Celui de l’interface de la VM?

Pour l’interface graphique je n’ai aucune idée de cela, je ne sais pas comment faire.

fgland

il manque forcément un équivalent dns quelque part ! Rien ne peut dite au PC portable d’aller chercher les adresses 192.168.122.xxx sur 192.168.1.253 puisque ces adresses ne sont pas connues de la box.
À priori j’ajouterai
192.168.1.253 192.168.122.xx
dans le fichiers /etc/hosts du pc portable mais ce n’est pas suffisant, il faut une translation d’adresse : –add-masquerade dans firewalld. Malheureusement l’onglet translation d’adresse à disparut de l’interface de firewalld-config, au moins sur mon poste F38 !
Désolé je n’ai pas d’autre idée et je ne peux affirmer que je suis sur la bonne piste n’étant un spécialiste ni réseau ni VM.

GOGI

fgland il manque forcément un équivalent dns quelque part ! Rien ne peut dite au PC portable d’aller chercher les adresses 192.168.122.xxx sur 192.168.1.253 puisque ces adresses ne sont pas connues de la box.
À priori j’ajouterai
192.168.1.253 192.168.122.xx
dans le fichiers /etc/hosts du pc portable mais ce n’est pas suffisant, il faut une translation d’adresse : –add-masquerade dans firewalld. Malheureusement l’onglet translation d’adresse à disparut de l’interface de firewalld-config, au moins sur mon poste F38 !
Désolé je n’ai pas d’autre idée et je ne peux affirmer que je suis sur la bonne piste n’étant un spécialiste ni réseau ni VM.

Normalement, c’est le boulot de l’interface “virbr0”, elle fait de la translation NAT et d’ailleurs ça marche très bien pour peu que l’on agisse depuis la machine hôte.
Je n’ai pas essayé le fichier “/etc/hosts” car je ne pense pas que ça puisse donner quelque chose à ce niveau, par contre j’ai essayé la translation d’adresse au niveau du firewall mais ça ne marche pas non plus :

#firewall-cmd --zone=ma-zone--add-masquerade

J’ai même essayé le forwarding au niveau du firewall sur les deux zones (public et libvirt) :

#ifrewall-cmd --zone=ma-zone--add-forwarding

J’ai également essayé de sourcer le sous-réseau 192.168.1.0/24 au niveau de la zone “public” :

#firewall-cmd --zone=ma-zone--add-source=192.168.1.0/24

Mais rien de tout cela n’a marché…
Je sens que tout ça est sous mon nez, enfin sous notre nez à tous, mais je suis aveugle de mes deux yeux devant le problème.

VINDICATORs

En modifiant l’option dans /etc/libvirt/qemu.conf :

# SPICE is configured to listen on 127.0.0.1 by default.
# To make it listen on all public interfaces, uncomment
# this next option.
#
# NB, strong recommendation to enable TLS + x509 certificate
# verification when allowing public access
#
spice_listen = "0.0.0.0"

Tu dois relancer les services pour la virtualisation.

Tu peux aussi le faire avec la ligne de commande, mais le plus simple serait de rattacher virt-manager à ton hyperviseur.

GOGI

VINDICATORs Alors j’ai tenté (au passage il va vraiment falloir que je me plonge dans toute la doc de libvirt et qemu), mais ça n’a rien donné… toujours pas de connexion, toujours pas de ping vers la VM…

J’ai même tenté une connexion en ssh avec :

[gogi@fedora ~]$ ssh 192.168.122.227
ssh: connect to host 192.168.122.227 port 22: No route to host

Par contre j’ai lu dans la doc de virbr0 que ce pont servait d’interface entre les VM et l’hôte… Est-ce que le problème ne viendrait pas de là? À savoir qu’il n’est pas possible avec ce pont de commniquer avec d’autres sous-réseaux?

GOGI

Pour résumer, puisqu’on ne peut pas cocher plusieurs réponses comme solutions au sujet.

Pour avoir accès aux VM à distance via un client :

VINDICATORs En modifiant l’option dans /etc/libvirt/qemu.conf :

#SPICE is configured to listen on 127.0.0.1 by default.
#To make it listen on all public interfaces, uncomment
#this next option.
#NB, strong recommendation to enable TLS + x509 certificate
#verification when allowing public access
spice_listen = "0.0.0.0"

Tu dois relancer les services pour la virtualisation.

Tu peux aussi le faire avec la ligne de commande, mais le plus simple serait de rattacher virt-manager à ton hyperviseur.

VINDICATORs Cockpit te limite au localhost (127.0.0.1) pour VNC/SPICE.

virt-manager c’est une interface graphique. (voir la partie de la doc à ce sujet ici : https://doc.fedora-fr.org/wiki/Infrastructure_KVM/QEMU%2BKubernetes#KVM/QEMU(hyperviseurs): J’en parle pas mal même si c’est pas encore terminé.). Tu peux même modifier le code xml de tes VM si tu veux aller plus loin.

https://virt-manager.org/

C’est bien plus complet que Cockpit qui reste très basique dans certains cas.

Après si ta bien configuré tu peux gérer tes vm avec cockpit. Mais il manque beaucoup beaucoup d’options!

En ligne de commande pour modifier les options de ta VM :

virsh list --all
virsh edit nomdetaVMvisé

Et tu modifie comme cet exemple la partie "graphics type=“spice”… :

<graphics type="spice" port="5900" autoport="no" listen="0.0.0.0">
<listen type="address" address="0.0.0.0"/>
<image compression="off"/>
<gl enable="no"/>
</graphics>

Tu enregistre (selon ton éditeur, par défaut c’est NANO donc tu regarde comment enregistrer) et tu relance ta VM.

Pour avoir la connexion à distance sur cockpit il faut utiliser VNC et adapter ce que j’ai mis ci dessus.

Pour avoir accès depuis “l’extérieur” aux VM :

GOGI VINDICATORs Après j’ai aussi des VM avec 2 cartes réseaux dont une sur le réseau interne virbrx et l’autre direct/macvtap. La première servant a administrer la VM a partir de l’hôte et de communiquer entre celles de celui-ci.

garder la première interface NIC en mode “NAT” par défaut et qui se connecte via le bridge par défaut virbr0

créer une deuxième interface NIC de type “Macvtap” dans le fichier xml de la VM, en CLI ou via le GUI Virt-Manager et la relier à l’interface physique de la machine hôte de type enpXsX

GOGI

Ce que je ne comprends pas, c’est que vraisemblablement la commande “ip route” semble trouver son chemin…

[gogi@fedora ~]$ ip route get 192.168.122.67
192.168.122.67 dev virbr0 src 192.168.122.1 uid 1000
cache

Ou alors j’interprète mal le résultat de cette commande…

VINDICATORs

Le pont n’a rien à voir pour le VNC/SPICE.

Je viens de le refaire à l’instant et cela fonctionne. Il y a une option à lancer lorsque tu lance ta VM en ligne de commande, mais je ne sais plus laquelle c’est (j’utilise qu’un virt-manager centralisé pour mes différents hyperviseurs).

Normalement c’est bien le fichier que j’ai donné qui vas modifier les options par défaut. Mais faut relancer libvirtd au moins.

Tu dois pouvoir aussi éditer tes VM en xml pour ajouter/modifier les options.

Si c’est du distant faut penser à faire une redirection NAT vers l’hôte avec ton modem/routeur (appelé “box” parce que l’anglois c’est “mieux”…). Un VPN Perso (wireguard) est plus conseillé pour ce genre de chose soit dit en passant (tu reste comme dans ton réseau local directement).

GOGI

VINDICATORs Le pont n’a rien à voir pour le VNC/SPICE.

Je viens de le refaire à l’instant et cela fonctionne. Il y a une option à lancer lorsque tu lance ta VM en ligne de commande, mais je ne sais plus laquelle c’est (j’utilise que virt-manager pour mes différents hyperviseurs).

Normalement c’est bien le fichier que j’ai donné qui vas modifier les options par défaut. Mais faut relancer libvirtd au moins.

Je lance les VM depuis Cockpit, donc en GUI 🙄, je ne sais pas faire en CLI et puis ce n’est pas dans mon intérêt. Si ça marche, ça doit bien marcher en instance graphique d’une manière ou d’une autre.
Je veux dire par là, il y a bien des personnes ou entités qui mettent en production des serveurs sous Fedora Server avec plusieurs VM qui sont accessibles depuis le réseau public. Comment faut-il faire? C’est ça mon objectif final.

Sinon tu es entrain de me dire que tu viens de le refaire avec une VM qui serait sur un serveur en te connectant dessus depuis une machine qui serait sur un sous-réseau différent?

J’ai relancé libvirtd, j’ai même redémarré le serveur, sait-on jamais 😃

VINDICATORs

Cockpit te limite au localhost (127.0.0.1) pour VNC/SPICE.

virt-manager c’est une interface graphique. (voir la partie de la doc à ce sujet ici : https://doc.fedora-fr.org/wiki/Infrastructure_KVM/QEMU%2BKubernetes#KVM/QEMU(hyperviseurs): J’en parle pas mal même si c’est pas encore terminé.). Tu peux même modifier le code xml de tes VM si tu veux aller plus loin.

https://virt-manager.org/

C’est bien plus complet que Cockpit qui reste très basique dans certains cas.

Après si ta bien configuré tu peux gérer tes vm avec cockpit. Mais il manque beaucoup beaucoup d’options!

En ligne de commande pour modifier les options de ta VM :

virsh list --all
virsh edit nomdetaVMvisé

Et tu modifie comme cet exemple la partie "graphics type=“spice”… :

<graphics type="spice" port="5900" autoport="no" listen="0.0.0.0">
  <listen type="address" address="0.0.0.0"/>
  <image compression="off"/>
  <gl enable="no"/>
</graphics>

Tu enregistre (selon ton éditeur, par défaut c’est NANO donc tu regarde comment enregistrer) et tu relance ta VM.

Pour avoir la connexion à distance sur cockpit il faut utiliser VNC et adapter ce que j’ai mis ci dessus.

GOGI

VINDICATORs Cockpit te limite au localhost (127.0.0.1) pour VNC/SPICE.

virt-manager c’est une interface graphique. (voir la partie de la doc à ce sujet ici : https://doc.fedora-fr.org/wiki/Infrastructure_KVM/QEMU%2BKubernetes#KVM/QEMU(hyperviseurs): J’en parle pas mal même si c’est pas encore terminé.). Tu peux même modifier le code xml de tes VM si tu veux aller plus loin.

https://virt-manager.org/

C’est bien plus complet que Cockpit qui reste très basique dans certains cas.

Là tu m’intéresses 😃
Donc c’est Cockpit qui me limite au réseau local de la machine hôte et non pas le bridge virbr0?
Est-ce qu’il est possible de lever cette via une config manuelle en CLI?

Cela dit, j’ai même un gros doute sur les capabilités de Cockpit et son interopérabilité avec la machine hôte au delà de ce que nous venons de dire. Je m’explique…

Lorsque je touche au firewall en GUI avec Cockpit sur la/les zone/s “public” et/ou “libvirt”, je ne retrouve pas trace de ces changements en CLI… Par exemple, en GUI j’ouvre le port 3389/tcp sur l’une des deux zones, je vais vérifier par curiosité en CLI avec la commande :

#firewall-cmd --zone=ma-zone--list-ports

et le port n’est pas là…
Par contre quand je fais l’inverse, le port est bien présent dans l’interface graphique de Cockpit…

Pour ce qui est de virt-manager, je connais très bien, c’est ce que j’utilise jusqu’à présent sur mon PC portable pour toutes mes machines virtuelles, je ne maîtrise pas la ligne de commande mais je connais très bien l’interface graphique. Je n’ai d’ailleurs jamais utilisé que ça, au détriment de Vbox ou Gnome-Boxes qui sont à mon sens bien loin derrière.
Et je sais que l’on peut changer le code xml, même si je ne m’y suis jamais aventuré.

Par contre dans mon cas, sachant que mon serveur contenant les VM est headless, comment virt-manager pourrait-il m’être d’utilité? À part le faire en CLI?

VINDICATORs Après si ta bien configuré tu peux gérer tes vm avec cockpit. Mais il manque beaucoup beaucoup d’options!

En ligne de commande pour modifier les options de ta VM :

virsh list --all
virsh edit nomdetaVMvisé

Et tu modifie comme cet exemple la partie "graphics type=“spice”… :

<graphics type="spice" port="5900" autoport="no" listen="0.0.0.0">
<listen type="address" address="0.0.0.0"/>
<image compression="off"/>
<gl enable="no"/>
</graphics>

Tu enregistre (selon ton éditeur, par défaut c’est NANO donc tu regarde comment enregistrer) et tu relance ta VM.

hahaha du coup je n’en sais rien si les VM sont bien configurées, après tout ce que l’on vient de dire sur Cockpit… Puisque je les ai crée avec Cockpit… 😃
Je suis pour ainsi dire en mode découverte de l’administration serveur avec Cockpit, et je n’en sais pas plus en CLI en matière de serveur, hormis tout ce qui est similaire à une version Workstation.

En ce qui concerne “virsh”, en effet c’est ces derniers jours que j’ai compris qu’il valait mieux faire toute modification par les commandes “virsh” plutôt que le faire directement avec un éditeur (notamment avec virbr0, sinon ça fout un bazar dans la config).

Par contre effectivement j’utiise depuis toujours “nano” mais ayant utilisé virsh ces derniers jours (notamment “virsh net-…”) celui-ci ouvre les fichiers avec “vi” 😡
Sais-tu comment changer l’éditeur par défaut?

En tous cas merci à toi et à tous ceux ( @Nicosss , @fgland ) qui donnez de votre temps pour vous pencher sur mon problème.

GOGI

GOGI Par contre dans mon cas, sachant que mon serveur contenant les VM est headless, comment virt-manager pourrait-il m’être d’utilité? À part le faire en CLI?

Je me réponds à moi-même 😉

J’ai donc trouvé comment accéder à l’espace libvirt du serveur depuis mon pc portable, disons que j’ai réussi à établir la connexion “qemu+ssh” donc je vais pouvoir gérer graphiquement à priori 🚀

Par contre la modification du fichier xml avec virsh n’a rien donné…

GOGI

Il y a un autre truc bizarre que je ne suis pas sûr de comprendre….
Pourquoi mon interface physique enp2s0 de mon serveur se trouve t-elle dans la zone “public” du firewall et d’ailleurs pourquoi est-ce cette zone qui est activée par défaut, et non pas la zone “Fedora Server”?
À l’instar d’une Fedora Workstation où c’est la zone “Fedora Workstation” qui est activée par défaut et dans laquelle se trouvent les interfaces “eth” et/ou “wlp”…

VINDICATORs

Je regarde demain, mais je n’ai pas ce genre de problèmes. Pour le reste aussi.

Pour le firewall tout dépend de comment tu as monté ton serveur et de quel édition c’est. Tu peux choisir celle par défaut dans cockpit. Après j’ai la zone public configuré aux petits oignons avec d’autres en plus pour certaines tâches comme les VM et autres par exemple. Y a rien de grave tant que tu n’as rien ouvert de critique.

Je regarderais demain, mais je ne comprend pas le problème que tu as avec la configuration du pare feu avec cockpit. Je dois regarder si il n’y a pas la demande de confirmation pour rendre pemanent les changements.

Édit : non pas de souci. Il crée un service avec custom–numeroduport si rien d’indiqué.

Cockpit dispose d’un terminal directement. MDonc je n’ai pas pensé que tu avais besoin de plus.

Ta pensé a vérifier le pare feu de ton modem/routeur?

GOGI

Bonsoir à tous,

J’ai pris le temps ces deux derniers jours de bien lire quelques documentations et tutoriels, qui m’ont permis de faire avancer certaines choses.
Comme le sujet devient long et que je commence moi-même à m’y perdre, je vais d’abord répondre aux derniers messages, puis faire une synthèse de ce qui a été reglé et ce qui ne l’est pas, afin que ce message serve de base de lecture pour la suite et fin de ce sujet.

VINDICATORs Je regarde demain, mais je n’ai pas ce genre de problèmes. Pour le reste aussi.

Pour le firewall tout dépend de comment tu as monté ton serveur et de quel édition c’est. Tu peux choisir celle par défaut dans cockpit. Après j’ai la zone public configuré aux petits oignons avec d’autres en plus pour certaines tâches comme les VM et autres par exemple. Y a rien de grave tant que tu n’as rien ouvert de critique.

Je regarderais demain, mais je ne comprend pas le problème que tu as avec la configuration du pare feu avec cockpit. Je dois regarder si il n’y a pas la demande de confirmation pour rendre pemanent les changements.

Édit : non pas de souci. Il crée un service avec custom–numeroduport si rien d’indiqué.

Je suis d’accord avec toi pour le firewall, c’était juste que l’idée me paraissait logique qu’une installation native par ISO-USB de Fedora_Server allait paramétrer firewalld avec la zone “Fedora Server” en zone principale, mais bref ça n’a pas d’importance car effectivement quelle que soit la zone on peut l’accomoder après pour qu’elle ressemble à une autre…
Pour le problème avec Cockpit, c’est simple. Je crée une ouverture de ports personnelle avec Cockpit, je la voit bien dans Cockpit, mais pas avec la commande

#firewall-cmd --zone=ma-zone--list-ports

Par contre l’inverse fonctionne bien, et je vois bien la nouvelle règle crée en CLI dans l’interface Cockpit, mais par contre elle n’est pas administrable par Cockpit… Elle s’affiche uniquement.
Bref ça aussi au final j’ai envie de dire que je m’en ~~fous~~ 😃 C’est pas le plus important actuellement, au besoin je passe par la CLI que j’ai toujours d’ailleurs préféré pour ce genre de choses.

fgland

vrai mais on l’a déjà dit en français qu début mais il est aussi vrai que, le fil commence à être long

[supprimé]

J’ai jamais vraiment trouvé de solution à ce problème, j’en ai une mais qui me satisfait moyennement. Avec bridge virbr0 :

La machine hote peut se connecter en RDP/VNC, peut accéder aux partages samba, … de la machine invité
La machine invité peut joindre tous les périphériques du réseau (ping, smb, imprimante …)
Aucune machine du réseau ne peut joindre la machine invité (donc pas de ping, pas d’accès smb, et encore moins de RDP/VNC)

La seule soluce que j’avais à l’époque, c’était d’ajouter une carte réseau USB sur la machine hote, et de la rattacher en direct à la VM, et dans ce cas tous les périphériques du réseau parvenaient à joindre la VM, sans restriction. Pas mieux à te proposer, désolé. Mais si tu trouve une soluce, je suis preneur

GOGI Effectivement, du coup j’ai abandonné VNC pour l’instant. D’ailleurs quelle différence concrète entre VNC et RDP, je veux dire à l’usage lequel est le mieux?

Pour moi, clairement RDP est préférable. Simple, rapide, natif sous Windows, et KRDC (sous KDE) pour gérer les connexions.

GOGI Comme dit juste avant à @fgland , vos tests se font sur une même machine, peut-être que mon problème est là, certainement, quelque part..

Ah ben oui, clairement. Puisque j’arrive à tout à partir de la machine hote, et je n’arrive à rien depuis les autres PC’s du réseau

Edit: J’utilise virt-manager, mais avec Machines de gnome3, j’ai le même comportement.

GOGI

[supprimé] J’ai jamais vraiment trouvé de solution à ce problème, j’en ai une mais qui me satisfait moyennement. Avec bridge virbr0 :

La machine hote peut se connecter en RDP/VNC, peut accéder aux partages samba, … de la machine invité
La machine invité peut joindre tous les périphériques du réseau (ping, smb, imprimante …)
Aucune machine du réseau ne peut joindre la machine invité (donc pas de ping, pas d’accès smb, et encore moins de RDP/VNC)

La seule soluce que j’avais à l’époque, c’était d’ajouter une carte réseau USB sur la machine hote, et de la rattacher en direct à la VM, et dans ce cas tous les périphériques du réseau parvenaient à joindre la VM, sans restriction. Pas mieux à te proposer, désolé. Mais si tu trouve une soluce, je suis preneur

Si c’est pour communiquer avec les VM directement (installer, configurer, démarrer, arrêter… le tout à distance) alors je te conseille d’utiliser “Virt-Manager” comme l’a dit @VINDICATORs plus haut et a fourni une documentation dessus. Certes le document est spécifique à un chapitre, mais tu peux trouver aisément toute la doc sur le net.
C’est ce que j’ai fait, et c’est d’ailleurs @VINDICATORs qui m’a mis la puce à l’oreille et je l’en remercie pour ça.
Maintenant je peux créer et gérer toutes les VM que je veux depuis un poste distant (mon pc portable), que ce soit depuis mon réseau domestique interne (192.168.1.X/24) ou de l’extérieur… Bien entendu pour gérer de l’extérieur il a fallu faire d’autres choses en parallèle, je détaillerai plus bas.

[supprimé] Pour moi, clairement RDP est préférable. Simple, rapide, natif sous Windows, et KRDC (sous KDE) pour gérer les connexions.

Laisse tomber RDP, je l’utilise également depuis des années pour un VPS parce que c’est du Windows, et que je n’ai pas le choix, autant que je sache “Virt-Manager” ne gère pas la plateforme Windows, en tous cas pas ce genre de connexion.

[supprimé] Ah ben oui, clairement. Puisque j’arrive à tout à partir de la machine hote, et je n’arrive à rien depuis les autres PC’s du réseau

Edit: J’utilise virt-manager, mais avec Machines de gnome3, j’ai le même comportement.

Pareil qu’au dessus, j’ai envie de dire laisse tomber Gnome-Machines également. Enfin pour l’instant…
Je pense que je ne dois pas être le seul à aimer l’idée de construire un éco-système compact autour de Gnome par exemple, au sein duquel les différentes applications intéragiraient avec une cohésion optimale, mais le fait est que pour l’instant on en est encore loin, Gnome-Boxes est très loin ne serait-ce que d’approcher ce qu’offre “Virt-Manager” en termes de possibités…

VINDICATORs

Il y a des solutions qui demande de bonnes connaissances sur le sujet. Voir la doc dont je parle plus haut avec les tables de routages sur les hôtes physiques par exemple.

Après j’ai aussi des VM avec 2 cartes réseaux dont une sur le réseau interne virbrx et l’autre direct/macvtap. La première servant a administrer la VM a partir de l’hôte et de communiquer entre celles de celui-ci.

Mais bon là le sujet c’est l’accès par vnc/spice a distance qui est géré par l’hôte.

J’ai indiqué les Modifs a faire. Pour le reste il faut voir comment ce fut géré de base.

Je regarde si il y a quelque chose de différents en créent une VM avec cockpit pour voir où cela coince. Normalement cockpit utilise vnc et non pas spice.

GOGI

Maintenant place à la synthèse :

J’ai donc étudié la question pendant deux-trois jours avec les docs fournies ici et trouvées sur le net et j’ai finalement réussi à faire fonctionner cette histoire de VM.
Je suis maintenant capable de gérer complètement à distance le serveur lui-même (démarrage par wake-on-lan et arrêt via ssh) ainsi que la création suppression et administration des VM, quelles qu’elles soient…
Pour cela il m’a fallu :

passer en IPv4 full-stack chez Free, je le conseille à tous, ça m’a déjà résolu une très grosse partie du problème en m’octroyant le contrôle sur tous les 65000 et quelques ports…
à partir de là il ne reste plus qu’à configurer “Virt-Manager”, Remmina, ssh et autres avec les bonnes ouvertures de port au niveau de la box et du serveur hôte.

Je n’irai pas jusqu’à dire que c’est uniquement l’histoire de l’IP en full-stack qui était à la source du problème, j’avais également une vision du problème erronée..

Par contre je ne peux toujours pas communiquer directement avec mes VM (en dehors de Virt-Manager) et pour une raison de taille, c’est écrit noir sur blanc dans la documentation “libvirt” :

l’interface virbrX par défaut permet la communication entre les VM elles-même, entre les VM et l’hôte physique et les communication sortantes des VM
elle restreint toute communication entrante

Il faut donc trouver un autre subterfuge…. La réponse à ça dans la suite, avec citation du commentaire de @VINDICATORs :

VINDICATORs Il y a des solutions qui demande de bonnes connaissances sur le sujet. Voir la doc dont je parle plus haut avec les tables de routages sur les hôtes physiques par exemple.

Après j’ai aussi des VM avec 2 cartes réseaux dont une sur le réseau interne virbrx et l’autre direct/macvtap. La première servant a administrer la VM a partir de l’hôte et de communiquer entre celles de celui-ci.

Mais bon là le sujet c’est l’accès par vnc/spice a distance qui est géré par l’hôte.

J’ai indiqué les Modifs a faire. Pour le reste il faut voir comment ce fut géré de base.

Commençons par les modifs… Effectivement ce furent les bonnes modifs, mais ça n’a pas très bien fonctionné avant le passage en IPv4 full-stack. Néanmoins avec ce passage + la configuration de “Virt-Manager” qui permet un contrôle total, c’est un pur bonheur de gérer tout ça… J’adore “Virt-Manager” je l’ai déjà dit, non? 😃
Donc @VINDICATORs merci encore une fois! Je ne connaissais pas toutes les possibilités de “Virt-Manager”, et bien sûr comme la plupart du temps on se contente de lire et apprendre que ce qui nous intéresse, parfois par manque de temps aussi, voilà où ça nous mène… Mais tu m’as mis sur la voie, et ça a payé.

Revenons maintenant à cet accès extérieur aux VM…
Alors oui là le sujet c’était à la base l’accès par Spice/VNC à distance, du moins c’est comme ça que je l’ai dénommé… Mais en fait je disais plus haut que j’avais eu une vision erronée du problème et pour cause : j’avais mis dès le départ dans le même sac les deux problèmes… Pour moi c’était la même chose, alors qu’en réalité ça ne l’est pas… C’est ce qui m’a conduit à m’éparpiller en fait.

Donc effectivement, il devrait y avoir plusieurs solutions à ce problème de communications entrantes directement vers les VM :

les tables de routage
intégrer deux interfaces virtuelles ou plus sur chaque VM afin que l’une (virbrX) communique en local et l’autre offre un accès public bi-directionnel
…

Encore une fois, je pensais m’en tirer simplement et rapidement, mais je vois que c’est mort, que je vais encore avoir droit aux études de docs… 😃
Pourtant, j’avais fait ce genre de choses à l’époque de l’avènement de “systemd-nspawn” que j’utilisais pour monter mon serveur BIND et quelques machines minimales lancées avec cette commande au démarrage.
J’utilisais NetworkManager pour la connexion réseau par défaut, mais pour tout ce qui était lancé avec “systemd-nspawn” j’avais utilisé “systemd-networkd” et “systemd-resolved”.
Notamment “systemd-networkd” m’avait permis de gérer ces différents sous-réseaux que j’avais configuré manuellement avec les fichier '*.network" et qui m’avaient permis de créer des interfaces avec une adresse IP à l’intérieur du sous-réseau des machines, et une autre adresse IP vue de l’extérieur de cette interface et qui appartenait au sous-réseau local… Et cette interface ainsi configurée faisait la translation d’adresses.

Le problème est que ça date maintenant de quelques années et que je ne me rappelle plus comment faire… Donc je vais sans doute avoir droit aux docs… 😃

GOGI

Bonjour à tous,
Bon, pour conclure ce sujet, car je n’ai malheureusement pas le temps d’étudier dans les détails toutes les possibilités de connexion afin de rendre joignables des VM sur un hôte Fedora Server gérées par hyperviseur QEMU/KVM “de l’extérieur”, j’ai compris le fonctionnement de l’une d’elles qui avait également été suggérée par @VINDICATORs plus haut, à savoir :

VINDICATORs Après j’ai aussi des VM avec 2 cartes réseaux dont une sur le réseau interne virbrx et l’autre direct/macvtap. La première servant a administrer la VM a partir de l’hôte et de communiquer entre celles de celui-ci.

garder la première interface NIC en mode “NAT” par défaut et qui se connecte via le bridge par défaut virbr0
créer une deuxième interface NIC de type “Macvtap” dans le fichier xml de la VM, en CLI ou via le GUI Virt-Manager et la relier à l’interface physique de la machine hôte de type enpXsX

Et c’est tout… 😃
En fait la deuxième interface acquiert par défaut une adresse IP qui se situe dans le sous-réseau dans lequel se trouve l’hôte et donc par conséquent toutes les autres machines physiques qui s’y trouvent (cas de figure avec un sous-réseau de machines physiques derrière un routeur unique type Box). Evidemment la conséquence est que ça porte l’accès à la-dite VM, autrement dit je peux maintenant faire un ping de mon pc portable vers l’adresse IP de ma VM en 192.168.1.X , je peux me connecter en ssh dessus directement, etc…

Par contre ce qui est très intéressant, c’est que ce genre de configuration est en réalité très facile à maintenir. Les machines sont faciles à créer, administrer, détruire via la GUI Virt-Manager (en local ou à distance).

On a un contrôle complet sur les connexions entrantes et sortantes pour chaque VM. On peut imaginer par exemple le cas de figure d’un serveur web sur une VM, où l’on va se servir de la connexion via bridge virbro par défaut uniquement pour l’administration de la VM via l’hôte par accès SSH avec une paire de clés privée-publique (aucun service ouvert au niveau du firewall entre la VM et l’hôte hormis ssh et connexion par mot de passe désactivée dans la config sshd de la VM) ; et la connexion via interface Macvtap va nous permettre d’ouvrir le serveur web au monde en se limitant au services/ports strictement nécessaires dans son propre firewall et en routant le tout au niveau de la Box pour avoir un accès extérieur sur le serveur web.
Et sécurite supplémentaire à mon sens, comme le disait @VINDICATORs :

VINDICATORs Ce qui est marrant, c’est qu’avec une carte réseau et une VM sur “Macvtape” elle n’est pas accessible depuis l’hôte,

Donc quelqu’un de malveillant de l’extérieur n’a aucun accès direct à l’hôte, ni aux autres VM, via l’interface Macvtap … Il faudrait absolument passer par l’hôte pour cela.

C’est un exemple que j’ai synthétisé pour toutes celles et ceux qui tomberont sur ce sujet par recherche de solutions similaires, mais les cas de figures sont multiples, en fonction des besoins de chacun.

Merci encore une fois @VINDICATORs, @Nicosss, @fgland , et tous les autres participants.

[supprimé]

VINDICATORs Après j’ai aussi des VM avec 2 cartes réseaux dont une sur le réseau interne virbrx et l’autre direct/macvtap. La première servant a administrer la VM a partir de l’hôte et de communiquer entre celles de celui-ci.

Voilà, en fait c’était vraiment tout con, mais je n’y avais pas pensé une seule seconde, la VM se trouve accessible de partout, et elle peut joindre tout le monde, qqsoit le protocole.

Vraiment je voulais revenir à mes KVM, au niveau perf’ avec VirtualBox y’a vraiment pas photo, genre pour encoder un film je vais mettre jusqu’à 20 min de moins avec la KVM, pour photoshop idem y’a pas matière à discussion. Mais cette histoire de macvtape et de virbr0, je me suis vraiment pris la tête 😣

VINDICATORs

Avec vnc il faut modifier “127.0.0.1” par “0.0.0.0” sur les deux ligne comme ici :

    <graphics type='vnc' port='-1' autoport='yes' listen='127.0.0.1'>
      <listen type='address' address='127.0.0.1'/>

Perso j’enregistre avec VI en tapant sur les touches [CTRL] maintenu et [Z] 2x.

ou [Echap] tape :wq

A savoir que pour la commande virsh il faut avoir les droits pour éditer. Donc soit en root, soit en sudo +commande.

Je viens de tester en repartant sur une installation d’une vm propre avec cockpit et cela fonctionne très bien (même avec spice).

« Page précédente Page suivante »