SPICE: различия между версиями

Материал из ALT Linux Wiki
(+Перенаправление папок)
 
(не показано 36 промежуточных версий 8 участников)
Строка 1: Строка 1:
== Обзор технологий ==
{{Stub}}


Данная статья ещё не завершена.
== Краткий обзор технологий ==


=== Протокол SPICE ===
=== Протокол SPICE ===


'''SPICE''' - простой протокол для независимой вычислительной среды. Позволяет просматривать виртуальный «рабочий стол» не только на машине, на которой он запущен, но и через Интернет, причём для просмотра можно использовать широкий спектр архитектур ([https://ru.wikipedia.org/wiki/SPICE_(%D0%BF%D1%80%D0%BE%D1%82%D0%BE%D0%BA%D0%BE%D0%BB) подробнее]). Хотя изначально SPICE проектировался исключительно для виртуальных сред, его можно поставить в один ряд с новейшими (объектными) версиями таких "чисто терминальных" протоколов, как RDP и NX.
'''SPICE''' простой протокол для независимой вычислительной среды. Позволяет работать с «виртуальным рабочим столом», в том числе, через Интернет, причём и на стороне «клиента», и на стороне «сервера» могут выступать различные операционные системы и аппаратные платформы ([https://ru.wikipedia.org/wiki/SPICE_(%D0%BF%D1%80%D0%BE%D1%82%D0%BE%D0%BA%D0%BE%D0%BB) подробнее]). Хотя изначально SPICE проектировался исключительно для виртуальных сред, его можно поставить в один ряд с новейшими (объектными) версиями таких «чисто терминальных» протоколов, как '''RDP''' и '''NX'''.


=== Proxmox Virtual Environment ===
=== Proxmox VE ===


[[PVE]] - готовое решение для управления средой виртуализации, в числе прочего, позволяющее обеспечить безопасный удалённый доступ по протоколу SPICE к большому количеству терминальных серверов, работающих внутри виртуальных машин [[KVM]]. При этом можно задействовать максимум возможностей, предоставляемых протоколом SPICE и средой эмуляции QEMU, в том числе, проброс USB-устройств, смарт-карт, принтеров, звука, получить более тесную интеграцию гостевой системы для бесшовной работы с мышью, клавиатурой, динамическим переключением разрешений экрана.
[[PVE]] готовое решение для управления средой виртуализации, позволяющее обеспечить, в числе прочего, безопасный удалённый доступ по протоколу SPICE к большому количеству терминальных серверов, работающих внутри виртуальных машин [[KVM]]. При этом можно задействовать максимум возможностей, предоставляемых протоколом '''SPICE''' и гипервизором '''QEMU/KVM''', в том числе, проброс USB-флэшек, смарт-карт, принтеров, звука, получить более тесную интеграцию с окном гостевой системы (бесшовную работу мыши, клавиатуры, динамическое переключение разрешения экрана, общий с гостевой системой буфер обмена для операций копирования/вставки).
 
=== OpenStack ===
 
[[OpenStack]] — ещё одно готовое решение для построения более масштабной инфраструктуры облачных сервисов и облачных хранилищ. Как и '''PVE''', OpenStack позволяет обеспечить, в числе прочего, безопасный удалённый доступ по протоколу SPICE к большому количеству терминальных серверов, работающих внутри виртуальных машин, использующих гипервизор '''QEMU/KVM'''.
 
=== SPICE-сервер ===
 
'''SPICE-сервер''' реализован библиотекой '''libspice'''. Пока что основным пользователем этой библиотеки является среда виртуализации '''QEMU''', использующая SPICE-сервер для предоставления удалённого доступа к виртуальным машинам через протокол '''SPICE'''. Таким образом, все возможности протокола SPICE на данный момент могут быть обеспечены только в виртуальной среде на основе QEMU. Поскольку код SPICE-сервера вынесен в отдельную библиотеку, есть надежда на скорое появление реализаций, выходящих за рамки этой виртуальной среды.
 
=== SPICE-клиенты ===
 
'''SPICE-клиенты''' — это программы, которые используются для удалённого доступа по протоколу SPICE. Рекомендуемым SPICE-клиентом является '''remote-viewer''' из пакета '''virt-viewer'''. Программа '''spicy''' из пакета '''libspice-gtk-tools''' может использоваться в тестовых целях, всей функциональности она не предоставляет. Установив пакет '''spice-html5''', можно получить удалённый доступ к «виртуальному рабочему столу» прямо из веб-браузера.


=== Драйвер QXL VGA ===
=== Драйвер QXL VGA ===


...
'''SPICE-сервер''' поддерживает интерфейс VDI '''QXL'''. Когда '''libspice''' используется с QEMU, для улучшения производительности «удалённого» дисплея и улучшения графических возможностей «гостевой» графической системы можно задействовать определенное видео-устройство PCI. Это видео-устройство называется устройством '''QXL'''. Оно требует наличия «гостевых» драйверов QXL для полной функциональности.
 
=== Агент «виртуального рабочего стола» ===
 
'''SPICE VDAgent''' — необязательный компонент, улучшающий интеграцию окна гостевой системы с графическим интерфейсом удалённого пользователя. SPICE-протокол поддерживает канал связи между клиентом и агентом на стороне сервера. Агент работает внутри гостевой системы. Для связи с агентом в гостевой системе также используется специальное устройство, так называемый VDI-порт.
 
=== Перенаправление папок ===
 
Для возможности получения доступа к локальной папке, внутри ВМ должен быть установлен пакет {{pkg|spice-webdavd}}. В этом случае общая папка будет доступна через локальный сервер WebDAV по адресу http://localhost:9843.
 
{{note|Чтобы открыть общий доступ к папке, следует в меню '''remote-viewer''' выбрать пункт «Настройки» («Preferences»), в открывшемся окне установить отметку «Общая папка» и выбрать папку для перенаправления:
[[Файл:Spice-sharefolder01.png|Spice. Выбор папки для перенаправления]]
}}
 
{{note|Для возможности доступа к общей папке из файлового менеджера, а не из браузера, внутри ВМ должен быть установлен пакет {{pkg|davfs2}}.
Доступ к общей папке из файлового менеджера:
*Dolphin — «Сеть»→«Сетевые службы»→«Сетевой каталог WebDav»→«Spice client folder»;
*Thunar — в адресной строке ввести адрес с указанием протокола dav или davs (dav://localhost:9843/).
}}


=== Терминальный сервер на физическом узле (даже без видеокарты) ===
=== Терминальный сервер на физическом узле ===


Headless/bare-metal конфигурация теперь легко настраивается благодаря наличию в репозитории драйвера '''spiceqxl'''.
Терминальный сервер может быть развёрнут не только в виртуальной среде. Он может работать и на физическом железе, даже без видеокарты. Headless/bare-metal конфигурация теперь легко настраивается благодаря наличию в репозитории Xorg-модуля '''spiceqxl'''.


=== Общий доступ к рабочему столу ===
=== Общий доступ к рабочему столу ===


'''x11spice''' позволяет предоставлять удалённый общий доступ к своему рабочему столу (сеансу, уже запущенному на реальной видео-карте). Ленар Шакиров предлагает желающим протестировать аналог общего рабочего стола x2go!
'''x11spice''' позволяет предоставлять удалённый общий доступ к своему рабочему столу (сеансу, уже запущенному на реальной видеокарте). Это аналог общего рабочего стола [[X2Go]] (похожая функция в Windows называется "Удалённый помощник", для тех же целей служит [[TeamViewer]]).
 
 
{{Note|Свойства подключения по умолчанию: порт — 5900, пароль — spicey.
 
Аргументы командной строки переопределяют настройки файла конфигурации.
Файл конфигурации {{path|/etc/xdg/x11spice/x11spice.conf}}. Рекомендуется скопировать этот файл под обычным пользователем в {{path|~/.config/x11spice/x11spice.conf}} и изменять настройки в нём.}}


<source lang="text" highlight="1">
 
# apt-repo test 201098
Правим конфигурацию под обычным пользователем:
<source lang="text" highlight="1-3">
$ mkdir ~/.config/x11spice
$ cp -L /etc/xdg/x11spice/x11spice.conf ~/.config/x11spice/
$ mcedit ~/.config/x11spice/x11spice.conf
</source>
 
{{Attention|Можно:
* указать пароль явно (параметр '''password''')
* сгенерировать пароль и показать его в терминале (параметр '''generate-password''')
* брать пароль из файла (параметр '''password-file''').
 
 
В файлах конфигурации и в командной строке должен быть указан один из этих параметров. Иначе, например, если в файле указан параметр '''password''', а в командной строке задавать '''generate-password''', сервер не будет запущен с ошибкой:
<source lang="text" highlight="1">$ x11spice --generate-password=6
Error: you can specify only one of password, password-file, and generate-password
</source>
</source>
}}
Чтобы подключаемый мог не только видеть рабочий стол, но и менять на нём что-либо, требуется включить опцию '''allow-control=true'''.
Теперь на клиенте запускаем '''x11spice''' из «Меню запуска приложений» («Стандартные/Инструменты» → «x11spice (Удалённый помощник)») или из командной строки.
Пример запуска SPICE-сервера из командной строки:
<source lang="text" highlight="1">$ x11spice --allow-control --generate-password=5
PASSWORD=uDJHY</source>
[[Файл:X11spice-02.png|X11spice. Ожидание подключения]]
[[Файл:X11spice-07.png|X11spice. Соединение установлено]]
При нажатии на кнопку «Отключиться», соединение будет разорвано, при нажатии на кнопку «Выйти» — будет остановлен сервер Spice.


== Прямое использование qemu/kvm ==
== Прямое использование qemu/kvm ==
Строка 34: Строка 99:


<source lang="text" highlight="1-4">
<source lang="text" highlight="1-4">
# apt-get install spiceqxl
# apt-get install xorg-drv-spiceqxl
# cp -af /etc/X11/xorg.conf.d /root/
# cp -af /etc/X11/xorg.conf.d /root/
# rm -f /etc/X11/xorg.conf.d/*
# rm -f /etc/X11/xorg.conf.d/*
Строка 133: Строка 198:
EOF
EOF
</source>
</source>
{{Attention|После выполнения настройки терминального сервера и дальнейшей перезагрузки управление сервером будет доступно только через удаленный доступ.}}


== Удалённое подключение к терминальному серверу ==
== Удалённое подключение к терминальному серверу ==
Строка 138: Строка 205:
<source lang="text" highlight="1-3">
<source lang="text" highlight="1-3">
# apt-get install libspice-gtk-tools virt-viewer spice-html5
# apt-get install libspice-gtk-tools virt-viewer spice-html5
$ remote-vewer "spice://10.X.Y.Z?port=5900&password=123"
$ remote-viewer "spice://10.X.Y.Z?port=5900&password=123"
$ spicy -p 5900 -h 10.X.Y.Z -w 123
$ spicy -p 5900 -h 10.X.Y.Z -w 123
</source>
</source>
== HTML5 Client ==
HTML5 Client позволяет подключиться к удалённому компьютеру без установки какого-либо клиента — используется лишь браузер.
Настройка удалённого доступа:
# Установить пакеты {{pkg|spice-html5}} и {{pkg|python-module-websockify}}:
#:<source lang="text" highlight="1"># apt-get install spice-html5 python-module-websockify</source>
# Запустить SPICE сервер.
# Запустить websockify:
#:<source lang="text" highlight="1">$ websockify.py2  5959 127.0.0.1:5900 --web /usr/share/spice-html5</source>
#: Первый параметр в данной команде — порт на котором spice-html5 будет слушать. Второй параметр — IP и порт, где стоит SPICE сервер: 127.0.0.1:5900. Третий параметр --web — запустить веб-сервер на том же порту, отдавать содержимое директории {{path|/usr/share/spice-html5}}.
Для подключения к удаленному рабочему столу:
# Запустить браузер.
# В адресной строке ввести адрес удалённого компьютера и порт, на котором слушает сервер:
#: [[Файл:Spice-js-client-01.png|spice-html5. Подключение по протоколу spice]]
# Нажать кнопку «Spice». Указать хост, на котором работает websockify; порт, который был указан при запуске websockify; пароль и нажать кнопку «Start Connection»:
#:[[Файл:Spice-js-client-02.png|spice-html5. Параметры подключения]]


Продолжение следует...
Продолжение следует...


[[Категория:Admin]]
[[Категория:Admin]][[Категория:Удалённый доступ]]
{{Category navigation|title=Удалённый доступ|category=Удалённый доступ|sortkey={{SUBPAGENAME}}}}

Текущая версия от 11:51, 19 января 2023

Stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.


Краткий обзор технологий

Протокол SPICE

SPICE — простой протокол для независимой вычислительной среды. Позволяет работать с «виртуальным рабочим столом», в том числе, через Интернет, причём и на стороне «клиента», и на стороне «сервера» могут выступать различные операционные системы и аппаратные платформы (подробнее). Хотя изначально SPICE проектировался исключительно для виртуальных сред, его можно поставить в один ряд с новейшими (объектными) версиями таких «чисто терминальных» протоколов, как RDP и NX.

Proxmox VE

PVE — готовое решение для управления средой виртуализации, позволяющее обеспечить, в числе прочего, безопасный удалённый доступ по протоколу SPICE к большому количеству терминальных серверов, работающих внутри виртуальных машин KVM. При этом можно задействовать максимум возможностей, предоставляемых протоколом SPICE и гипервизором QEMU/KVM, в том числе, проброс USB-флэшек, смарт-карт, принтеров, звука, получить более тесную интеграцию с окном гостевой системы (бесшовную работу мыши, клавиатуры, динамическое переключение разрешения экрана, общий с гостевой системой буфер обмена для операций копирования/вставки).

OpenStack

OpenStack — ещё одно готовое решение для построения более масштабной инфраструктуры облачных сервисов и облачных хранилищ. Как и PVE, OpenStack позволяет обеспечить, в числе прочего, безопасный удалённый доступ по протоколу SPICE к большому количеству терминальных серверов, работающих внутри виртуальных машин, использующих гипервизор QEMU/KVM.

SPICE-сервер

SPICE-сервер реализован библиотекой libspice. Пока что основным пользователем этой библиотеки является среда виртуализации QEMU, использующая SPICE-сервер для предоставления удалённого доступа к виртуальным машинам через протокол SPICE. Таким образом, все возможности протокола SPICE на данный момент могут быть обеспечены только в виртуальной среде на основе QEMU. Поскольку код SPICE-сервера вынесен в отдельную библиотеку, есть надежда на скорое появление реализаций, выходящих за рамки этой виртуальной среды.

SPICE-клиенты

SPICE-клиенты — это программы, которые используются для удалённого доступа по протоколу SPICE. Рекомендуемым SPICE-клиентом является remote-viewer из пакета virt-viewer. Программа spicy из пакета libspice-gtk-tools может использоваться в тестовых целях, всей функциональности она не предоставляет. Установив пакет spice-html5, можно получить удалённый доступ к «виртуальному рабочему столу» прямо из веб-браузера.

Драйвер QXL VGA

SPICE-сервер поддерживает интерфейс VDI QXL. Когда libspice используется с QEMU, для улучшения производительности «удалённого» дисплея и улучшения графических возможностей «гостевой» графической системы можно задействовать определенное видео-устройство PCI. Это видео-устройство называется устройством QXL. Оно требует наличия «гостевых» драйверов QXL для полной функциональности.

Агент «виртуального рабочего стола»

SPICE VDAgent — необязательный компонент, улучшающий интеграцию окна гостевой системы с графическим интерфейсом удалённого пользователя. SPICE-протокол поддерживает канал связи между клиентом и агентом на стороне сервера. Агент работает внутри гостевой системы. Для связи с агентом в гостевой системе также используется специальное устройство, так называемый VDI-порт.

Перенаправление папок

Для возможности получения доступа к локальной папке, внутри ВМ должен быть установлен пакет spice-webdavd. В этом случае общая папка будет доступна через локальный сервер WebDAV по адресу http://localhost:9843.

Примечание: Чтобы открыть общий доступ к папке, следует в меню remote-viewer выбрать пункт «Настройки» («Preferences»), в открывшемся окне установить отметку «Общая папка» и выбрать папку для перенаправления:

Spice. Выбор папки для перенаправления


Примечание: Для возможности доступа к общей папке из файлового менеджера, а не из браузера, внутри ВМ должен быть установлен пакет davfs2.

Доступ к общей папке из файлового менеджера:

  • Dolphin — «Сеть»→«Сетевые службы»→«Сетевой каталог WebDav»→«Spice client folder»;
  • Thunar — в адресной строке ввести адрес с указанием протокола dav или davs (dav://localhost:9843/).


Терминальный сервер на физическом узле

Терминальный сервер может быть развёрнут не только в виртуальной среде. Он может работать и на физическом железе, даже без видеокарты. Headless/bare-metal конфигурация теперь легко настраивается благодаря наличию в репозитории Xorg-модуля spiceqxl.

Общий доступ к рабочему столу

x11spice позволяет предоставлять удалённый общий доступ к своему рабочему столу (сеансу, уже запущенному на реальной видеокарте). Это аналог общего рабочего стола X2Go (похожая функция в Windows называется "Удалённый помощник", для тех же целей служит TeamViewer).


Примечание: Свойства подключения по умолчанию: порт — 5900, пароль — spicey.

Аргументы командной строки переопределяют настройки файла конфигурации.

Файл конфигурации /etc/xdg/x11spice/x11spice.conf. Рекомендуется скопировать этот файл под обычным пользователем в ~/.config/x11spice/x11spice.conf и изменять настройки в нём.


Правим конфигурацию под обычным пользователем:

$ mkdir ~/.config/x11spice
$ cp -L /etc/xdg/x11spice/x11spice.conf ~/.config/x11spice/
$ mcedit ~/.config/x11spice/x11spice.conf
Внимание! Можно:
  • указать пароль явно (параметр password)
  • сгенерировать пароль и показать его в терминале (параметр generate-password)
  • брать пароль из файла (параметр password-file).


В файлах конфигурации и в командной строке должен быть указан один из этих параметров. Иначе, например, если в файле указан параметр password, а в командной строке задавать generate-password, сервер не будет запущен с ошибкой:

$ x11spice --generate-password=6
Error: you can specify only one of password, password-file, and generate-password


Чтобы подключаемый мог не только видеть рабочий стол, но и менять на нём что-либо, требуется включить опцию allow-control=true.

Теперь на клиенте запускаем x11spice из «Меню запуска приложений» («Стандартные/Инструменты» → «x11spice (Удалённый помощник)») или из командной строки.

Пример запуска SPICE-сервера из командной строки:

$ x11spice --allow-control --generate-password=5
PASSWORD=uDJHY

X11spice. Ожидание подключения X11spice. Соединение установлено

При нажатии на кнопку «Отключиться», соединение будет разорвано, при нажатии на кнопку «Выйти» — будет остановлен сервер Spice.

Прямое использование qemu/kvm

...

Настройка терминального сервера

# apt-get install xorg-drv-spiceqxl
# cp -af /etc/X11/xorg.conf.d /root/
# rm -f /etc/X11/xorg.conf.d/*
# cat >/etc/X11/xorg.conf <<EOF
# https://cgit.freedesktop.org/xorg/driver/xf86-video-qxl/plain/examples/spiceqxl.xorg.conf.example

Section "Device"
    Identifier	"XSPICE QXL"
    Driver	"spiceqxl"

    # ---- Network and security options

    #Option	"SpiceDisableTicketing" "False"
    Option	"SpicePassword"		"123"
    #Option	"SpicePort"		"5900"
    #Option	"SpiceTlsPort"		"5900"
    #Option	"SpiceSasl"		"False"
    #Option	"SpiceX509Dir"		""
    #Option	"SpiceCacertFile"	""
    #Option	"SpiceX509KeyFile"	""
    #Option	"SpiceX509KeyPassword"	""
    #Option	"SpiceX509CertFile"	""
    #Option	"SpiceDhFile"		""
    #Option	"SpiceTlsCiphers"	""
    #Option	"SpiceAddr"		""
    #Option	"SpiceIPV4Only"		"True"
    #Option	"SpiceIPV6Only"		"False"
    #Option	"SpiceExitOnDisconnect"	"False"

    # ---- Monitor configuration options

    Option	"NumHeads"		"1"

    # ---- Compression options

    #Option	"SpiceZlibGlzWanCompression" "auto"
    #Option	"SpiceJpegWanCompression" "auto"
    #Option	"SpiceImageCompression"	"auto_glz"
    #Option	"SpiceDeferredFPS"	"10"
    #Option	"SpiceStreamingVideo"	"filter"
    #Option	"SpiceVideoCodecs"	""
    #Option	"EnableImageCache"	"True"
    #Option	"EnableFallbackCache"	"True"
    #Option	"EnableSurfaces"	"True"

    # ---- Xspice-specific buffer options

    #Option	"SurfaceBufferSize"	"128"
    #Option	"CommandBufferSize"	"128"
    #Option	"FrameBufferSize"	"16"

    # ---- VDAgent options

    #Option	"SpiceVdagentEnabled"	"False"
    #Option	"SpiceVdagentVirtioPath" "/tmp/xspice-virtio"
    #Option	"SpiceVdagentUinputPath" "/tmp/xspice-uinput"
    #Option	"SpiceVdagentUid"	"0"
    #Option	"SpiceVdagentGid"	"0"
    #Option	"SpiceAgentMouse"	"True"
    #Option	"SpicePlaybackCompression" "True"
    #Option	"SpiceDisableCopyPaste"	"False"
    #Option	"SpicePlaybackFIFODir"	""
    #Option	"SpiceSmartCardFile"	"/tmp/spice.pcsc.comm"
EndSection

Section "InputDevice"
    Identifier	"XSPICE Pointer"
    Driver	"xspice pointer"
EndSection

Section "InputDevice"
    Identifier	"XSPICE Keyboard"
    Driver	"xspice keyboard"
EndSection

Section "Monitor"
    Identifier	"XSPICE Monitor"
EndSection

Section "Screen"
    Identifier	"XSPICE Screen"
    Monitor	"XSPICE Monitor"
    Device	"XSPICE QXL"
    DefaultDepth 24
EndSection

Section "ServerLayout"
    Identifier	"XSPICE Layout"
    Screen	"XSPICE Screen"
    InputDevice	"XSPICE Keyboard"
    InputDevice	"XSPICE Pointer"
EndSection

Section "ServerFlags"
    Option	"AutoAddDevices" 	"False"
EndSection

EOF
Внимание! После выполнения настройки терминального сервера и дальнейшей перезагрузки управление сервером будет доступно только через удаленный доступ.


Удалённое подключение к терминальному серверу

# apt-get install libspice-gtk-tools virt-viewer spice-html5
$ remote-viewer "spice://10.X.Y.Z?port=5900&password=123"
$ spicy -p 5900 -h 10.X.Y.Z -w 123

HTML5 Client

HTML5 Client позволяет подключиться к удалённому компьютеру без установки какого-либо клиента — используется лишь браузер.

Настройка удалённого доступа:

  1. Установить пакеты spice-html5 и python-module-websockify:
    # apt-get install spice-html5 python-module-websockify
    
  2. Запустить SPICE сервер.
  3. Запустить websockify:
    $ websockify.py2  5959 127.0.0.1:5900 --web /usr/share/spice-html5
    
    Первый параметр в данной команде — порт на котором spice-html5 будет слушать. Второй параметр — IP и порт, где стоит SPICE сервер: 127.0.0.1:5900. Третий параметр --web — запустить веб-сервер на том же порту, отдавать содержимое директории /usr/share/spice-html5.

Для подключения к удаленному рабочему столу:

  1. Запустить браузер.
  2. В адресной строке ввести адрес удалённого компьютера и порт, на котором слушает сервер:
    spice-html5. Подключение по протоколу spice
  3. Нажать кнопку «Spice». Указать хост, на котором работает websockify; порт, который был указан при запуске websockify; пароль и нажать кнопку «Start Connection»:
    spice-html5. Параметры подключения


Продолжение следует...