⁉️ 👨‍👩‍👧 💈 KVM (unter) VDI mit einmaligen virtuellen Maschinen unter Verwendung von Bash 🏇🏿 🚔 ✌🏻

Für wen ist dieser Artikel?

Dieser Artikel kann für Systemadministratoren von Interesse sein, die vor der Aufgabe standen, einen "einmaligen" Jobdienst zu erstellen.

Prolog

Die IT-Support-Abteilung eines jungen, sich dynamisch entwickelnden Unternehmens mit einem kleinen regionalen Netzwerk wurde gebeten, "Self-Service-Stationen" für die Nutzung durch externe Kunden zu organisieren. Die Stationsdaten sollten für die Registrierung auf den externen Portalen des Unternehmens, das Herunterladen von Daten von externen Geräten und die Arbeit mit Regierungsportalen verwendet werden.

Ein wichtiger Aspekt war die Tatsache, dass der größte Teil der Software unter MS Windows „geschärft“ wird (z. B. „Deklaration“), und trotz der Hinwendung zu offenen Formaten bleibt MS Office der dominierende Standard beim Austausch elektronischer Dokumente. Daher konnten wir MS Windows bei der Lösung dieses Problems nicht ablehnen.

Das Hauptproblem war die Möglichkeit, verschiedene Daten aus Benutzersitzungen zu sammeln, die zu deren Weitergabe an Dritte führen könnten. Diese Situation hat den MFC bereits im Stich gelassen . Im Gegensatz zur quasi-gerichtlichen (staatlich autonomen Institution) MFC werden nichtstaatliche Organisationen für solche Mängel viel stärker bestraft. Das nächste kritische Problem war die Anforderung, mit externen Speichermedien zu arbeiten, auf denen auf jeden Fall eine Menge bösartiger Malware vorhanden sein wird. Die Wahrscheinlichkeit des Eintritts von Malware aus dem Internet wurde aufgrund der Einschränkung des Zugangs zum Internet über eine weiße Adressliste als weniger wahrscheinlich angesehen. Mitarbeiter anderer Abteilungen erarbeiteten gemeinsam die Anforderungen, stellten ihre Anforderungen und Wünsche. Die endgültigen Anforderungen sahen wie folgt aus:

IS-Anforderungen

Nach der Verwendung sollten alle Benutzerdaten (einschließlich temporärer Dateien und Registrierungsschlüssel) gelöscht werden.
Alle vom Benutzer gestarteten Prozesse sollten am Ende der Arbeit abgeschlossen sein.
Internetzugang über eine weiße Liste von Adressen.
Einschränkungen bei der Ausführung von Code von Drittanbietern.
Wenn die Sitzung länger als 5 Minuten inaktiv ist, sollte die Sitzung automatisch beendet werden und die Station sollte eine Bereinigung durchführen.

Kundenanforderungen

Die Anzahl der Client-Stationen pro Zweigstelle beträgt nicht mehr als 4.
Die minimale Wartezeit für die Systembereitschaft, von dem Moment an, als ich mich auf einen Stuhl setzte, bis zum Beginn der Arbeit mit Client-Software.
Die Möglichkeit, Peripheriegeräte (Scanner, Flash-Laufwerke) direkt vom Installationsort der "Self-Service-Station" aus anzuschließen.
Kundenwünsche
Vorführung von Werbematerialien (Bilder) zum Zeitpunkt der Schließung des Komplexes.

Mehl der Kreativität

Nachdem wir genug mit Windows LiveCD gespielt hatten, kamen wir einstimmig zu dem Schluss, dass die resultierende Lösung nicht mindestens 3 kritische Punkte erfüllt. Sie sind entweder für eine lange Zeit geladen oder nicht ganz lebendig, oder ihre Anpassung war mit wilden Schmerzen verbunden. Vielleicht haben wir schlecht gesucht, und Sie können eine Reihe von Tools empfehlen, ich werde Ihnen dankbar sein.

Weiter haben wir uns mit VDI befasst, aber für diese Aufgabe sind die meisten Lösungen entweder zu teuer oder erfordern besondere Aufmerksamkeit. Und ich wollte ein einfaches Tool mit einem Minimum an Magie, dessen Probleme größtenteils durch einen einfachen Neustart / Neustart des Dienstes gelöst werden konnten. Glücklicherweise hatten wir Serverausrüstung, Low-End-Klasse in den Filialen, aus dem stillgelegten Dienst, die wir für die technologische Basis verwenden konnten.

Was ist das Ergebnis? Aber ich kann Ihnen nicht sagen, was am Ende passiert ist, weil die NDA, aber während der Suche haben wir ein interessantes Schema entwickelt, das sich in Labortests gut gezeigt hat, obwohl es nicht in Serie ging.

Einige Haftungsausschlüsse: Der Autor behauptet nicht, dass die vorgeschlagene Lösung alle Aufgaben vollständig löst und dies freiwillig und mit dem Lied tut. Der Autor stimmt im Voraus der Aussage zu, dass Sein Englishe sprache zehr schlecht ist. Da sich die Lösung nicht mehr entwickelt, können Sie nicht mit einer Fehlerbehebung oder einer Änderung der Funktionalität rechnen. Alles liegt in Ihren Händen. Der Autor geht davon aus, dass Sie mit KVM zumindest ein wenig vertraut sind und einen Übersichtsartikel zum Spice-Protokoll gelesen haben und ein wenig mit Centos oder einer anderen GNU Linux-Distribution gearbeitet haben.

In diesem Artikel möchte ich das Rückgrat der resultierenden Lösung analysieren, nämlich die Interaktion von Client und Server und die Essenz der Prozesse im Lebenszyklus virtueller Maschinen im Rahmen der betreffenden Lösung. Wenn der Artikel für die Öffentlichkeit interessant sein soll, beschreibe ich die Details der Implementierung von Live-Images zum Erstellen von Thin Clients auf Fedora-Basis und erläutere die Details der Optimierung virtueller Maschinen und KVM-Server zur Optimierung von Leistung und Sicherheit.

Wenn Sie farbiges Papier nehmen,
Farben, Pinsel und Kleber,
Und ein bisschen mehr Geschicklichkeit ...
Sie können hundert Rubel machen!

Schema und Beschreibung des Prüfstands

Alle Geräte befinden sich im Filialnetz, nur der Internetkanal geht aus. In der Vergangenheit gab es bereits einen Proxyserver, es ist nichts Außergewöhnliches. Daraufhin wird unter anderem der Datenverkehr von virtuellen Maschinen gefiltert (Abk. VM später im Text). Nichts hindert Sie daran, diesen Dienst auf dem KVM-Server zu platzieren. Sie müssen lediglich beobachten, wie sich die Last auf dem Festplattensubsystem ändert.

Client Station - in der Tat "Self-Service-Stationen", "Front-End" unseres Service. Sind Nettops von Lenovo IdeaCentre. Wofür ist dieses Gerät gut? Ja, fast alle, besonders zufrieden mit der großen Anzahl von USB-Anschlüssen und Kartenlesern auf der Vorderseite. In unserem Schema wird eine SD-Karte mit Hardware-Schreibschutz in den Kartenleser eingelegt, auf der das modifizierte Livebild von Fedora 28 aufgezeichnet wird. Natürlich sind ein Monitor, eine Tastatur und eine Maus mit dem Nettop verbunden.

Schalter - ein unauffälliger Hardware-Schalter der zweiten Ebene, der sich im Serverraum befindet und mit Lichtern blinkt. Es ist mit keinem Netzwerk außer dem Netzwerk der „Selbstbedienungsstationen“ verbunden.

KVM_Server ist der Kern der Schaltung. In den Bench-Tests des Core 2 Quad Q9650 mit 8 GB RAM wurden sicher 3 virtuelle Windows 10-Maschinen auf sich gezogen. Festplattensubsystem - adaptec 3405 2 Laufwerke Raid 1 + SSD. In Feldversuchen des Xeon 1220 zog die ernstere LSI 9260 + SSD leicht 5-6 VMs. Wir würden den Server vom pensionierten Dienst bekommen, es würde nicht viel Kapitalkosten geben. Auf diesen Servern wird das KVM-Virtualisierungssystem mit dem Pool der virtuellen Maschine pool_Vm bereitgestellt.

VM ist eine virtuelle Maschine, das Backend unseres Service. Es ist die Arbeit des Benutzers.

Enp5s0 ist eine Netzwerkschnittstelle, die auf das Netzwerk von "Self-Service-Stationen", dhcpd, ntpd, httpd live darauf und xinetd auf den "Signal" -Port blickt.

Lo0 ist die Loopback-Pseudo-Schnittstelle. Standard.

Spice_console - Eine sehr interessante Sache ist die Tatsache, dass im Gegensatz zum klassischen RDP beim Einschalten des KVM + Spice-Protokollpakets eine zusätzliche Entität angezeigt wird - der Konsolenport der virtuellen Maschine. Wenn wir eine Verbindung zu diesem TCP-Port herstellen, erhalten wir die VM-Konsole, ohne dass eine Verbindung zu VM über die Netzwerkschnittstelle hergestellt werden muss. Alle Interaktionen mit Vm zur Signalübertragung übernimmt der Server. Das nächstgelegene Analogon in der Funktion ist IPKVM. Das heißt, Das Image des VM-Monitors wird an diesen Port übertragen, Daten zur Mausbewegung werden an diesen Port übertragen, und (was am wichtigsten ist) die Interaktion über das Spice-Protokoll ermöglicht es Ihnen, USB-Geräte nahtlos an die virtuelle Maschine umzuleiten, als ob dieses Gerät mit der VM selbst verbunden wäre. Getestet für Flash-Laufwerke, Scanner, Webcams.

Vnet0-, virbr0- und virtuelle Netzwerkkarten Vm bilden ein Netzwerk virtueller Maschinen.

Wie funktioniert es?

Von der Client Station

Die Client-Station startet im grafischen Modus vom modifizierten Live-Image von Fedora 28 und empfängt die IP-Adresse per DHCP aus dem Netzwerkadressraum 169.254.24.0/24. Während des Startvorgangs werden Firewall-Regeln erstellt, die Verbindungen zu den Server-Ports "Signal" und "Spice" ermöglichen. Nach Abschluss des Downloads wartet die Station auf die Autorisierung des Client-Benutzers. Nach der Benutzerautorisierung wird der Desktop-Manager "openbox" gestartet und das Autostart-Autostart-Skript im Namen des autorisierten Benutzers ausgeführt. Das Autorun-Skript führt unter anderem das Skript remote.sh aus.

$ HOME / .config / openbox / scripts / remote.sh

#!/bin/sh server_ip=$(/usr/bin/cat /etc/client.conf |/usr/bin/grep "server_ip" \ |/usr/bin/cut -d "=" -f2) vdi_signal_port=$(/usr/bin/cat /etc/client.conf |/usr/bin/grep "vdi_signal_port" \ |/usr/bin/cut -d "=" -f2) vdi_spice_port=$(/usr/bin/cat /etc/client.conf |/usr/bin/grep "vdi_spice_port" \ |/usr/bin/cut -d "=" -f2) animation_folder=$(/usr/bin/cat /etc/client.conf |/usr/bin/grep "animation_folder" \ |/usr/bin/cut -d "=" -f2) process=/usr/bin/remote-viewer while true do if [ -z `/usr/bin/pidof feh` ] then /usr/bin/echo $animation_folder /usr/bin/feh -N -x -D1 $animation_folder & else /usr/bin/echo fi /usr/bin/nc -i 1 $server_ip $vdi_signal_port |while read line do if /usr/bin/echo "$line" |/usr/bin/grep "RULE ADDED, CONNECT NOW!" then /usr/bin/killall feh pid_process=$($process "spice://$server_ip:$vdi_spice_port" \ "--spice-disable-audio" "--spice-disable-effects=animation" \ "--spice-preferred-compression=auto-glz" "-k" \ "--kiosk-quit=on-disconnect" | /bin/echo $!) /usr/bin/wait $pid_process /usr/bin/killall -u $USER exit else /usr/bin/echo $line >> /var/log/remote.log fi done done

/etc/client.conf

 server_ip=169.254.24.1 vdi_signal_port=5905 vdi_spice_port=5906 animation_folder=/usr/share/backgrounds/animation background_folder=/usr/share/backgrounds2/fedora-workstation

Beschreibung der Variablen der Datei client.conf
server_ip - Adresse KVM_Server
vdi_signal_port - Port KVM_Server, auf dem xinetd "sitzt"
vdi_spice_port - Netzwerkport KVM_Server, von dem die Verbindungsanforderung vom Remote-Viewer-Client zum Spice-Port des ausgewählten VM umgeleitet wird (Details unten).
animation_folder - Ordner, aus dem Bilder für Demonstrations-Bullshit-Animationen entnommen werden
background_folder - Der Ordner, aus dem Bilder für Standby-Präsentationen entnommen werden. Mehr zur Animation im nächsten Teil des Artikels.

Das Skript remote.sh übernimmt die Einstellungen aus der Konfigurationsdatei /etc/client.conf und verwendet nc, um eine Verbindung zum Port "vdi_signal_port" des KVM-Servers herzustellen, und empfängt einen Datenstrom vom Server, unter dem die Zeichenfolge "RULE ADDED, CONNECT NOW" erwartet wird. Wenn die gewünschte Leitung empfangen wird, startet der Remote-Viewer-Prozess im Kiosk-Modus und stellt eine Verbindung zum Server-Port "vdi_spice_port" her. Die Ausführung des Skripts wird bis zum Ende der Remote-Viewer-Ausführung angehalten.

Der Remote-Viewer, der aufgrund einer Umleitung auf der Serverseite eine Verbindung zum Port "vdi_spice_port" herstellt, gelangt zum Port "spice_console" der lo0-Schnittstelle, d. H. an die Konsole der virtuellen Maschine und die Arbeit des Benutzers erfolgt direkt. Während des Wartens auf die Verbindung wird dem Benutzer eine Bullshit-Animation in Form einer Diashow mit JPEG-Dateien angezeigt. Der Pfad zum Verzeichnis mit den Bildern wird durch den Wert der Variablen animation_folder aus der Konfigurationsdatei bestimmt.

Wenn die Verbindung zum Port "spice_console" der virtuellen Maschine unterbrochen wird, was das Herunterfahren / Neustarten der virtuellen Maschine (dh das tatsächliche Ende der Benutzersitzung) signalisiert, werden alle Prozesse, die im Auftrag des autorisierten Benutzers ausgeführt werden, beendet, was zum Neustart von lightdm führt und zum Autorisierungsbildschirm zurückkehrt .

Von der Seite des KVM-Servers

Auf dem Signalport der Netzwerkkarte wartet enp5s0 auf die xinetd-Verbindung. Nach dem Herstellen einer Verbindung zum Signal-Port führt xinetd das Skript vm_manager.sh aus, ohne Eingabeparameter zu übergeben, und leitet das Ergebnis des Skripts an die NC-Sitzung der Client Station weiter.

/etc/xinetd.d/test-server

 service vdi_signal { port = 5905 socket_type = stream protocol = tcp wait = no user = root server = /home/admin/scripts_vdi_new/vm_manager.sh }

/home/admin/scripts_vdi_new/vm_manager.sh

 #!/usr/bin/sh #<SET LOCAL VARIABLES FOR SCRIPT># SRV_SCRIPTS_DIR=$(/usr/bin/cat /etc/vm_manager.conf \ |/usr/bin/grep "srv_scripts_dir" |/usr/bin/cut -d "=" -f2) /usr/bin/echo "SRV_SCRIPTS_DIR=$SRV_SCRIPTS_DIR" export SRV_SCRIPTS_DIR=$SRV_SCRIPTS_DIR SRV_POOL_SIZE=$(/usr/bin/cat /etc/vm_manager.conf \ |/usr/bin/grep "srv_pool_size" |/usr/bin/cut -d "=" -f2) /usr/bin/echo "SRV_POOL_SIZE=$SRV_POOL_SIZE" export "SRV_POOL_SIZE=$SRV_POOL_SIZE" SRV_START_PORT_POOL=$(/usr/bin/cat /etc/vm_manager.conf \ |/usr/bin/grep "srv_start_port_pool" |/usr/bin/cut -d "=" -f2) /usr/bin/echo SRV_START_PORT_POOL=$SRV_START_PORT_POOL export SRV_START_PORT_POOL=$SRV_START_PORT_POOL SRV_TMP_DIR=$(/usr/bin/cat /etc/vm_manager.conf \ |/usr/bin/grep "srv_tmp_dir" |/usr/bin/cut -d "=" -f2) /usr/bin/echo "SRV_TMP_DIR=$SRV_TMP_DIR" export SRV_TMP_DIR=$SRV_TMP_DIR date=$(/usr/bin/date) #</SET LOCAL VARIABLES FOR SCRIPT># /usr/bin/echo "# $date START EXECUTE VM_MANAGER.SH #" make_connect_to_vm() { #<READING CLEAR.LIST AND CHECK PORT FOR NETWORK STATE># /usr/bin/echo "READING CLEAN.LIST AND CHECK PORT STATE" #<CHECK FOR NO ONE PORT IN CLEAR.LIST># if [ -z `/usr/bin/cat $SRV_TMP_DIR/clear.list` ] then /usr/bin/echo "NO AVALIBLE PORTS IN CLEAN.LIST FOUND" /usr/bin/echo "Will try to make housekeeper, and create new vm" make_housekeeper else #<MINIMUN ONE PORT IN CLEAR.LIST FOUND># /usr/bin/cat $SRV_TMP_DIR/clear.list |while read line do clear_vm_port=$(($line)) /bin/echo "FOUND PORT $clear_vm_port IN CLEAN.LIST. TRY NETSTAT" \ "CHECK FOR PORT=$clear_vm_port" #<NETSTAT LISTEN CHECK FOR PORT FROM CLEAN.LIST># if /usr/bin/netstat -lnt |/usr/bin/grep ":$clear_vm_port" > /dev/null then /bin/echo "$clear_vm_port IS LISTEN" #<PORT IS LISTEN. CHECK FOR IS CONNECTED NOW># if /usr/bin/netstat -nt |/usr/bin/grep ":$clear_vm_port" \ |/usr/bin/grep "ESTABLISHED" > /dev/null then #<PORT LISTEN AND ALREADY CONNECTED! MOVE PORT FROM CLEAR.LIST # TO WASTE.LIST># /bin/echo "$clear_vm_port IS ALREADY CONNECTED, MOVE PORT TO WASTE.LIST" /usr/bin/sed -i "/$clear_vm_port/d" $SRV_TMP_DIR/clear.list /usr/bin/echo $clear_vm_port >> $SRV_TMP_DIR/waste.list else #<PORT LISTEN AND NO ONE CONNECT NOW. MOVE PORT FROM CLEAR.LIST TO # CONN_WAIT.LIST AND CREATE IPTABLES RULES>## /usr/bin/echo "OK, $clear_vm_port IS NOT ALREADY CONNECTED" /usr/bin/sed -i "/$clear_vm_port/d" $SRV_TMP_DIR/clear.list /usr/bin/echo $clear_vm_port >> $SRV_TMP_DIR/conn_wait.list $SRV_SCRIPTS_DIR/vm_connect.sh $clear_vm_port #<TRY TO CLEAN VM IN WASTE.LIST AND CREATE NEW WM># /bin/echo "TRY TO CLEAN VM IN WASTE.LIST AND CREATE NEW VM" make_housekeeper /usr/bin/echo "# $date STOP EXECUTE VM_MANAGER.SH#" exit fi else #<PORT IS NOT A LISTEN. MOVE PORT FROM CLEAR.LIST TO WASTE.LIST># /bin/echo " "$clear_vm_port" is NOT LISTEN. REMOVE PORT FROM CLEAR.LIST" /usr/bin/sed -i "/$clear_vm_port/d" $SRV_TMP_DIR/clear.list /usr/bin/echo $clear_vm_port >> $SRV_TMP_DIR/waste.list make_housekeeper fi done fi } make_housekeeper() { /usr/bin/echo "=Execute housekeeper=" /usr/bin/cat $SRV_TMP_DIR/waste.list |while read line do /usr/bin/echo "$line" if /usr/bin/netstat -lnt |/usr/bin/grep ":$line" > /dev/null then /bin/echo "port_alive, vm is running" if /usr/bin/netstat -nt |/usr/bin/grep ":$line" \ |/usr/bin/grep "ESTABLISHED" > /dev/null then /bin/echo "port_in_use can't delete vm!!!" else /bin/echo "port_not in use. Deleting vm" /usr/bin/sed -i "/$line/d" $SRV_TMP_DIR/waste.list /usr/bin/echo $line >> $SRV_TMP_DIR/recycle.list $SRV_SCRIPTS_DIR/vm_delete.sh $line fi else /usr/bin/echo "posible vm is already off. Deleting vm" /usr/bin/echo "MOVE VM IN OFF STATE $line FROM WASTE.LIST TO" \ "RECYCLE.LIST AND DELETE VM" /usr/bin/sed -i "/$line/d" $SRV_TMP_DIR/waste.list /usr/bin/echo $line >> $SRV_TMP_DIR/recycle.list $SRV_SCRIPTS_DIR/vm_delete.sh "$line" fi done create_clear_vm } create_clear_vm() { /usr/bin/echo "=Create new VM=" while [ $SRV_POOL_SIZE -gt 0 ] do new_vm_port=$(($SRV_START_PORT_POOL+$SRV_POOL_SIZE)) /usr/bin/echo "new_vm_port=$new_vm_port" if /usr/bin/grep "$new_vm_port" $SRV_TMP_DIR/clear.list > /dev/null then /usr/bin/echo "$new_vm_port port is already defined in clear.list" else if /usr/bin/grep "$new_vm_port" $SRV_TMP_DIR/waste.list > /dev/null then /usr/bin/echo "$new_vm_port port is already defined in waste.list" else if /usr/bin/grep "$new_vm_port" $SRV_TMP_DIR/recycle.list > /dev/null then /usr/bin/echo "$new_vm_port PORT IS ALREADY DEFINED IN RECYCLE LIST" else if /usr/bin/grep "$new_vm_port" $SRV_TMP_DIR/conn_wait.list > /dev/null then /usr/bin/echo "$new_vm_port PORT IS ALREADY DEFINED IN CONN_WAIT LIST" else /usr/bin/echo "PORT IN NOT DEFINED IN NO ONE LIST WILL CREATE" \ "VM ON PORT $new_vm_port" /usr/bin/echo $new_vm_port >> $SRV_TMP_DIR/recycle.list $SRV_SCRIPTS_DIR/vm_create.sh $new_vm_port fi fi fi fi SRV_POOL_SIZE=$(($SRV_POOL_SIZE-1)) done /usr/bin/echo "# $date STOP EXECUTE VM_MANAGER.SH #" } make_connect_to_vm |/usr/bin/tee -a /var/log/vm_manager.log

/etc/vm_manager.conf

srv_scripts_dir = / home / admin / scripts_vdi_new
srv_pool_size = 4
srv_start_port_pool = 5920
srv_tmp_dir = / tmp / vm_state
base_host = win10_2
input_iface = enp5s0
vdi_spice_port = 5906
count_conn_tryes = 10

Beschreibung der Variablen der Konfigurationsdatei vm_manager.conf
srv_scripts_dir - Skriptspeicherortordner vm_manager.sh, vm_connect.sh, vm_delete.sh, vm_create.sh, vm_clear.sh
srv_pool_size - Vm Poolgröße
srv_start_port_pool - der anfängliche Port, nach dem die Spice-Ports der Konsolen der virtuellen Maschine beginnen
srv_tmp_dir - Ordner für temporäre Dateien
base_host - base Vm (goldenes Bild), aus dem Vm-Klone in den Pool erstellt werden
input_iface - Die Netzwerkschnittstelle des Servers mit Blick auf Client-Stationen
vdi_spice_port - Der Netzwerkport des Servers, von dem die Verbindungsanforderung vom Remote-Viewer-Client zum Spice-Port der ausgewählten VM umgeleitet wird
count_conn_tryes - Wartezeit, nach der angenommen wird, dass die Verbindung zu Vm nicht hergestellt wurde (Einzelheiten siehe vm_connect.sh).

Das Skript vm_manager.sh liest die Konfigurationsdatei aus der Datei vm_manager.conf und wertet den Status der virtuellen Maschinen im Pool anhand verschiedener Parameter aus, nämlich: Wie viele VMs werden bereitgestellt, ob freie saubere VMs vorhanden sind. Dazu liest er die Datei clear.list, die die Anzahl der "spice_console" -Ports der "neu erstellten" (siehe VM-Erstellungszyklus unten) virtuellen Maschinen enthält, und prüft, ob eine Verbindung zu ihnen hergestellt wurde. Wenn ein Port mit einer hergestellten Netzwerkverbindung erkannt wird (was auf keinen Fall der Fall sein sollte), wird eine Warnung angezeigt und der Port wird an verschwenderisch übertragen. Wenn der erste Port aus der Datei clear.list gefunden wird, mit der derzeit keine Verbindung besteht, ruft vm_manager.sh das Skript vm_connect.sh auf und übergibt es ihm als Parameter die Nummer dieses Ports.

/home/admin/scripts_vdi_new/vm_connect.sh

 #!/bin/sh date=$(/usr/bin/date) /usr/bin/echo "#" "$date" "START EXECUTE VM_CONNECT.SH#" #<SET LOCAL VARIABLES FOR SCRIPT># free_port="$1" input_iface=$(/usr/bin/cat /etc/vm_manager.conf |/usr/bin/grep "input_iface" \ |/usr/bin/cut -d "=" -f2) /usr/bin/echo "input_iface=$input_iface" vdi_spice_port=$(/usr/bin/cat /etc/vm_manager.conf \ |/usr/bin/grep "vdi_spice_port" |/usr/bin/cut -d "=" -f2) /usr/bin/echo "vdi_spice_port=$vdi_spice_port" count_conn_tryes=$(/usr/bin/cat /etc/vm_manager.conf \ |/usr/bin/grep "count_conn_tryes" |/usr/bin/cut -d "=" -f2) /usr/bin/echo "count_conn_tryes=$count_conn_tryes" #</SET LOCAL VARIABLES FOR SCRIPT># #<CREATE IPTABLES RULES AND SEND SIGNAL TO CONNECT># /usr/bin/echo "create rule for port" $free_port /usr/sbin/iptables -I INPUT -i $input_iface -p tcp -m tcp --dport \ $free_port -j ACCEPT /usr/sbin/iptables -I OUTPUT -o $input_iface -p tcp -m tcp --sport \ $free_port -j ACCEPT /usr/sbin/iptables -t nat -I PREROUTING -p tcp -i $input_iface --dport \ $vdi_spice_port -j DNAT --to-destination 127.0.0.1:$free_port /usr/bin/echo "RULE ADDED, CONNECT NOW!" #</CREATE IPTABLES RULES AND SEND SIGNAL TO CONNECT># #<WAIT CONNECT ESTABLISHED AND ACTIVATE CONNECT TIMER># while [ $count_conn_tryes -gt 0 ] do if /usr/bin/netstat -nt |/usr/bin/grep ":$free_port" \ |/usr/bin/grep "ESTABLISHED" > /dev/null then /bin/echo "$free_port NOW in use!!!" /usr/bin/sleep 1s /usr/sbin/iptables -t nat -D PREROUTING -p tcp -i $input_iface --dport \ $vdi_spice_port -j DNAT --to-destination 127.0.0.1:$free_port /usr/sbin/iptables -D INPUT -i $input_iface -p tcp -m tcp --dport \ $free_port -j ACCEPT /usr/sbin/iptables -D OUTPUT -o $input_iface -p tcp -m tcp --sport \ $free_port -j ACCEPT /usr/bin/sed -i "/$free_port/d" $SRV_TMP_DIR/conn_wait.list /usr/bin/echo $free_port >> $SRV_TMP_DIR/waste.list return else /usr/bin/echo "$free_port NOT IN USE" /usr/bin/echo "RULE ADDED, CONNECT NOW!" /usr/bin/sleep 1s fi count_conn_tryes=$((count_conn_tryes-1)) done #</WAIT CONNECT ESTABLISED AND ACTIVATE CONNECT TIMER># #<IF COUNT HAS EXPIRED. REMOVE IPTABLES RULE AND REVERT \ # VM TO CLEAR.LIST># /usr/bin/echo "REVERT IPTABLES RULE AND REVERT VM TO CLEAN \ LIST $free_port" /usr/sbin/iptables -t nat -D PREROUTING -p tcp -i $input_iface --dport \ $vdi_spice_port -j DNAT --to-destination 127.0.0.1:$free_port /usr/sbin/iptables -D INPUT -i $input_iface -p tcp -m tcp --dport $free_port \ -j ACCEPT /usr/sbin/iptables -D OUTPUT -o $input_iface -p tcp -m tcp --sport \ $free_port -j ACCEPT /usr/bin/sed -i "/$free_port/d" $SRV_TMP_DIR/conn_wait.list /usr/bin/echo $free_port >> $SRV_TMP_DIR/clear.list #</COUNT HAS EXPIRED. REMOVE IPTABLES RULE AND REVERT VM \ #TO CLEAR.LIST># /usr/bin/echo "#" "$date" "END EXECUTE VM_CONNECT.SH#" # Attention! Must Be! sysctl net.ipv4.conf.all.route_localnet=1

Das Skript vm_connect.sh führt Firewall-Regeln ein, die eine Umleitung "vdi_spice_port" des Server-Ports der enp5s0-Schnittstelle zum "spice console port" der VM auf der lo0-Serverschnittstelle erstellen, die als Startparameter übergeben wird. Der Port wird an conn_wait.list übertragen. Die VM wird als ausstehende Verbindung betrachtet. Die Zeile RULE ADDED, CONNECT NOW wird an die Client Station-Sitzung am Signalport des Servers gesendet, was von dem darauf ausgeführten Skript remote.sh erwartet wird. Ein Verbindungswartezyklus beginnt mit der Anzahl der Versuche, die durch den Wert der Variablen "count_conn_tryes" aus der Konfigurationsdatei bestimmt werden. Jede Sekunde in der NC-Sitzung wird die Zeichenfolge "REGEL HINZUGEFÜGT, JETZT VERBINDEN" angegeben und die Verbindung zum Port "spice_console" überprüft.

Wenn die Verbindung für die festgelegte Anzahl von Versuchen fehlgeschlagen ist, wird der spice_console-Port zurück an clear.list übertragen. Die Ausführung von vm_connect.sh ist abgeschlossen. Die Ausführung von vm_manager.sh wird fortgesetzt, wodurch der Reinigungszyklus gestartet wird.

Wenn die Client Station eine Verbindung zum spice_console-Port auf der lo0-Schnittstelle herstellt, werden die Firewall-Regeln, die eine Umleitung zwischen dem Spice Server-Port und dem spice_console-Port erstellen, gelöscht, und die Verbindung wird durch einen Mechanismus zum Ermitteln des Status der Firewall weiter aufrechterhalten. Im Falle einer getrennten Verbindung schlägt die erneute Verbindung zum spice_console-Port fehl. Der spice_console-Port wird in die Datei "iar.list "übertragen. Die VM wird als fehlerhaft betrachtet und kann ohne Reinigung nicht in den Pool sauberer virtueller Maschinen zurückkehren. Die Ausführung von vm_connect.sh ist abgeschlossen, die Ausführung von vm_manager.sh wird fortgesetzt, wodurch der Reinigungszyklus gestartet wird.

Der Reinigungszyklus beginnt mit einem Blick auf die Datei wash.list, in die die spice_console-Nummern der Ports der virtuellen Maschine übertragen werden, zu denen die Verbindung hergestellt wird. Das Vorhandensein einer aktiven Verbindung wird an jedem spice_console-Port aus der Liste ermittelt. Wenn keine Verbindung besteht, wird davon ausgegangen, dass die virtuelle Maschine nicht mehr verwendet wird und der Port an recycle.list übertragen wird. Der Vorgang zum Löschen der virtuellen Maschine (siehe unten), zu der dieser Port gehört, wird gestartet. Wenn am Port eine aktive Netzwerkverbindung erkannt wird, wird davon ausgegangen, dass die virtuelle Maschine verwendet wird, und es werden keine Maßnahmen ergriffen. Wenn der Port nicht abgegriffen wird, wird davon ausgegangen, dass die VM ausgeschaltet ist und nicht mehr benötigt wird. Der Port wird an recycle.list übertragen und der Vorgang zum Entfernen der virtuellen Maschine wird gestartet. Dazu wird das Skript vm_delete.sh aufgerufen, an das die Nummer "spice_console" als Parameter an den VM-Port übertragen wird, der gelöscht werden muss.

/home/admin/scripts_vdi_new/vm_delete.sh

 #!/bin/sh #<Set local VARIABLES># port_to_delete="$1" date=$(/usr/bin/date) #</Set local VARIABLES># /usr/bin/echo "# $date START EXECUTE VM_DELETE.SH#" /usr/bin/echo "TRY DELETE VM ON PORT: $vm_port" #<VM NAME SETUP># vm_name_part1=$(/usr/bin/cat /etc/vm_manager.conf |/usr/bin/grep 'base_host' \ |/usr/bin/cut -d'=' -f2) vm_name=$(/usr/bin/echo "$vm_name_part1""-""$port_to_delete") #</VM NAME SETUP># #<SHUTDOWN AND DELETE VM># /usr/bin/virsh destroy $vm_name /usr/bin/virsh undefine $vm_name /usr/bin/rm -f /var/lib/libvirt/images_write/$vm_name.qcow2 /usr/bin/sed -i "/$port_to_delete/d" $SRV_TMP_DIR/recycle.list #</SHUTDOWN AND DELETE VM># /usr/bin/echo "VM ON PORT $vm_port HAS BEEN DELETE AND REMOVE" \ "FROM RECYCLE.LIST. EXIT FROM VM_DELETE.SH" /usr/bin/echo "# $date STOP EXECUTE VM_DELETE.SH#" exit

Das Entfernen einer virtuellen Maschine ist eine ziemlich triviale Operation. Das Skript vm_delete.sh bestimmt den Namen der virtuellen Maschine, der der als Startparameter übergebene Port gehört. Die VM muss angehalten werden, die VM wird aus dem Hypervisor entfernt und die virtuelle Festplatte dieser VM wird gelöscht. Der spice_console-Port wird aus der recycle.list entfernt. Die Ausführung von vm_delete.sh wird beendet, die Ausführung von vm_manager.sh wird fortgesetzt

Das Skript vm_manager.sh startet am Ende der Vorgänge zum Bereinigen nicht benötigter virtueller Maschinen aus der Liste WASTE.list den Zyklus zum Erstellen virtueller Maschinen im Pool.

Der Prozess beginnt mit der Bestimmung der für das Hosting verfügbaren spice_console-Ports. Basierend auf dem Parameter der Konfigurationsdatei "srv_start_port_pool", der den Startport für den Pool "spice_console" virtueller Maschinen festlegt, und dem Parameter "srv_pool_size", der die Begrenzung der Anzahl virtueller Maschinen festlegt, werden alle möglichen Portvarianten nacheinander aufgelistet. Für jeden bestimmten Port wird in clear.list, WASte.list, conn_wait.list, recycle.list gesucht. Wenn in einer dieser Dateien ein Port gefunden wird, wird der Port als belegt betrachtet und übersprungen. Wenn der Port in den angegebenen Dateien nicht gefunden wird, wird er in die Datei recycle.list eingegeben und der Vorgang zum Erstellen einer neuen virtuellen Maschine beginnt. Dazu wird das Skript vm_create.sh aufgerufen, an das die spice_console-Nummer des Ports übergeben wird, für den Sie eine VM erstellen möchten.

/home/admin/scripts_vdi_new/vm_create.sh

 #!/bin/sh /usr/bin/echo "#" "$date" "START RUNNING VM_CREATE.SH#" new_vm_port=$1 date=$(/usr/bin/date) a=0 /usr/bin/echo SRV_TMP_DIR=$SRV_TMP_DIR #<SET LOCAL VARIABLES FOR SCRIPT># base_host=$(/usr/bin/cat /etc/vm_manager.conf |/usr/bin/grep "base_host" \ |/usr/bin/cut -d "=" -f2) /usr/bin/echo "base_host=$base_host" #</SET LOCAL VARIABLES FOR SCRIPT># hdd_image_locate() { /bin/echo "Run STEP 1 - hdd_image_locate" hdd_base_image=$(/usr/bin/virsh dumpxml $base_host \ |/usr/bin/grep "source file" |/usr/bin/grep "qcow2" |/usr/bin/head -n 1 \ |/usr/bin/cut -d "'" -f2) if [ -z "$hdd_base_image" ] then /bin/echo "base hdd image not found!" else /usr/bin/echo "hdd_base_image found is a $hdd_base_image. Run next step 2" #< CHECK FOR SNAPSHOT ON BASE HDD ># if [ 0 -eq `/usr/bin/qemu-img info "$hdd_base_image" | /usr/bin/grep -c "Snapshot"` ] then /usr/bin/echo "base image haven't snapshot, run NEXT STEP 3" else /usr/bin/echo "base hdd image have a snapshot, can't use this image" exit fi #</ CHECK FOR SNAPSHOT ON BASE HDD ># #< CHECK FOR HDD IMAGE IS LINK CLONE ># if [ 0 -eq `/usr/bin/qemu-img info "$hdd_base_image" |/usr/bin/grep -c "backing file" then /usr/bin/echo "base image is not a linked clone, NEXT STEP 4" /usr/bin/echo "Base image check complete!" else /usr/bin/echo "base hdd image is a linked clone, can't use this image" exit fi fi #</ CHECK FOR HDD IMAGE IS LINK CLONE ># cloning } cloning() { # <Step_1 turn the base VM off ># /usr/bin/virsh shutdown $base_host > /dev/null 2>&1 # </Step_1 turn the base VM off ># #<Create_vm_config># /usr/bin/echo "Free port for Spice VM is $new_vm_port" #<Setup_name_for_new_VM># new_vm_name=$(/bin/echo $base_host"-"$new_vm_port) #</Setup_name_for_new_VM># #<Make_base_config_as_clone_base_VM># /usr/bin/virsh dumpxml $base_host > $SRV_TMP_DIR/$new_vm_name.xml #<Make_base_config_as_clone_base_VM># ##<Setup_New_VM_Name_in_config>## /usr/bin/sed -i "s%<name>$base_host</name>%<name>$new_vm_name</name>%g" $SRV_TMP_DIR/$new_vm_name.xml #</Setup_New_VM_Name_in_config># #<UUID Changing># old_uuid=$(/usr/bin/cat $SRV_TMP_DIR/$new_vm_name.xml |/usr/bin/grep "<uuid>") /usr/bin/echo old UUID $old_uuid new_uuid_part1=$(/usr/bin/echo "$old_uuid" |/usr/bin/cut -d "-" -f 1,2) new_uuid_part2=$(/usr/bin/echo "$old_uuid" |/usr/bin/cut -d "-" -f 4,5) new_uuid=$(/bin/echo $new_uuid_part1"-"$new_vm_port"-"$new_uuid_part2) /usr/bin/echo $new_uuid /usr/bin/sed -i "s%$old_uuid%$new_uuid%g" $SRV_TMP_DIR/$new_vm_name.xml #</UUID Changing># #<Spice port replace># old_spice_port=$(/usr/bin/cat $SRV_TMP_DIR/$new_vm_name.xml \ |/usr/bin/grep "graphics type='spice' port=") /bin/echo old spice port $old_spice_port new_spice_port=$(/usr/bin/echo "<graphics type='spice' port='$new_vm_port' autoport='no' listen='127.0.0.1'>") /bin/echo $new_spice_port /usr/bin/sed -i "s%$old_spice_port%$new_spice_port%g" $SRV_TMP_DIR/$new_vm_name.xml #</Spice port replace># #<MAC_ADDR_GENERATE># mac_new=$(/usr/bin/hexdump -n6 -e '/1 ":%02X"' /dev/random|/usr/bin/sed s/^://g) /usr/bin/echo New Mac is $mac_new #</MAC_ADDR_GENERATE># #<GET OLD MAC AND REPLACE># mac_old=$(/usr/bin/cat $SRV_TMP_DIR/$new_vm_name.xml |/usr/bin/grep "mac address=") /usr/bin/echo old mac is $mac_old /usr/bin/sed -i "s%$mac_old%$mac_new%g" $SRV_TMP_DIR/$new_vm_name.xml #<GET OLD MAC AND REPLACE># #<new_disk_create># /usr/bin/qemu-img create -f qcow2 -b $hdd_base_image /var/lib/libvirt/images_write/$new_vm_name.qcow2 #</new_disk_create># #<attach_new_disk_in_confiig># /usr/bin/echo hdd base image is $hdd_base_image /usr/bin/sed -i "s%<source file='$hdd_base_image'/>%<source file='/var/lib/libvirt/images_write/$new_vm_name.qcow2'/>%g" $SRV_TMP_DIR/$new_vm_name.xml #</attach_new_disk_in_confiig># starting_vm #</Create_vm config># } starting_vm() { /usr/bin/virsh define $SRV_TMP_DIR/$new_vm_name.xml /usr/bin/virsh start $new_vm_name while [ $a -ne 1 ] do if /usr/bin/virsh list --all |/usr/bin/grep "$new_vm_name" |/usr/bin/grep "running" > /dev/null 2>&1 then a=1 /usr/bin/sed -i "/$new_vm_port/d" $SRV_TMP_DIR/recycle.list /usr/bin/echo $new_vm_port >> $SRV_TMP_DIR/clear.list /usr/bin/echo "#" "$date" "VM $new_vm_name IS STARTED #" else /usr/bin/echo "#VM $new_vm_name is not ready#" a=0 /usr/bin/sleep 2s fi done /usr/bin/echo "#$date EXIT FROM VM_CREATE.SH#" exit } hdd_image_locate

Der Prozess zum Erstellen einer neuen virtuellen Maschine

Das Skript vm_create.sh liest aus der Konfigurationsdatei den Wert der Variablen "base_host", die die virtuelle Beispielmaschine bestimmt, auf deren Grundlage der Klon erstellt wird. Es entlädt die XML-Konfiguration der VM aus der Hypervisor-Datenbank, führt eine Reihe von Überprüfungen des VM-Disk-Images durch und erstellt nach erfolgreichem Abschluss die XML-Konfigurationsdatei für die neue VM und das Disk-Image des verknüpften Klons der neuen VM. Danach wird die XML-Konfiguration der neuen VM in die Hypervisor-Datenbank geladen und die VM gestartet. Der spice_console-Port wird von recycle.list nach clear.list übertragen. Die Ausführung von vm_create.sh endet und die Ausführung von vm_manager.sh endet.
Wenn Sie das nächste Mal eine Verbindung herstellen, beginnt dies von vorne.

Für Notfälle enthält das Kit ein Skript vm_clear.sh, das alle VMs aus dem Pool zwangsweise durchläuft und sie entfernt, indem die Werte der Listen auf Null gesetzt werden. Wenn Sie es beim Laden aufrufen, können Sie VDI von Grund auf neu starten.

/home/admin/scripts_vdi_new/vm_clear.sh

 #!/usr/bin/sh #set VARIABLES# SRV_SCRIPTS_DIR=$(/usr/bin/cat /etc/vm_manager.conf \ |/usr/bin/grep "srv_scripts_dir" |/usr/bin/cut -d "=" -f2) /usr/bin/echo "SRV_SCRIPTS_DIR=$SRV_SCRIPTS_DIR" export SRV_SCRIPTS_DIR=$SRV_SCRIPTS_DIR SRV_TMP_DIR=$(/usr/bin/cat /etc/vm_manager.conf \ |/usr/bin/grep "srv_tmp_dir" |/usr/bin/cut -d "=" -f2) /usr/bin/echo "SRV_TMP_DIR=$SRV_TMP_DIR" export SRV_TMP_DIR=$SRV_TMP_DIR SRV_POOL_SIZE=$(/usr/bin/cat /etc/vm_manager.conf \ |/usr/bin/grep "srv_pool_size" |/usr/bin/cut -d "=" -f2) /usr/bin/echo "SRV_POOL_SIZE=$SRV_POOL_SIZE" SRV_START_PORT_POOL=$(/usr/bin/cat /etc/vm_manager.conf \ |/usr/bin/grep "srv_start_port_pool" |/usr/bin/cut -d "=" -f2) /usr/bin/echo SRV_START_PORT_POOL=$SRV_START_PORT_POOL #Set VARIABLES# /usr/bin/echo "= Cleanup ALL VM=" /usr/bin/mkdir $SRV_TMP_DIR /usr/sbin/service iptables restart /usr/bin/cat /dev/null > $SRV_TMP_DIR/clear.list /usr/bin/cat /dev/null > $SRV_TMP_DIR/waste.list /usr/bin/cat /dev/null > $SRV_TMP_DIR/recycle.list /usr/bin/cat /dev/null > $SRV_TMP_DIR/conn_wait.list port_to_delete=$(($SRV_START_PORT_POOL+$SRV_POOL_SIZE)) while [ "$port_to_delete" -gt "$SRV_START_PORT_POOL" ] do $SRV_SCRIPTS_DIR/vm_delete.sh $port_to_delete port_to_delete=$(($port_to_delete-1)) done /usr/bin/echo "= EXIT FROM VM_CLEAR.SH="

Damit möchte ich den ersten Teil meiner Geschichte beenden. Dies sollte für Systemadministratoren ausreichen, um underVDI im Geschäftsleben zu testen. Wenn die Community dieses Thema interessant findet, werde ich im zweiten Teil über die Modifikation von livecd Fedora und deren Umwandlung in einen Kiosk sprechen.