Настройка SPICE прокси для РЕД Виртуализации 7.3.3

При настройке прокси сервера будет использоваться следующее окружение:

• engine.redvirt—FQDN адрес виртуальной машины управления
• proxy.redvirt—FQDN адрес прокси сервера

10.10.10.2 engine.redvirt
10.10.10.3 host1.redvirt
10.10.10.4 host2.redvirt
10.10.10.10 proxy.redvirt

Настройка подключения

Для настройки подключения к консоли виртуальных машин необходимо задать параметры прокси сервера в настройках ovirt-engine.
Для использования незащищенного прокси сервера (когда данные передаются в незашифрованном виде) достаточно указать адрес прокси сервера. В консоли виртуальной машины управления HostedEngine выполните:

# engine-config -s SpiceProxyDefault=http://proxy.redvirt:3128

Для использования защищенного прокси сервера (когда данные передаются в зашифрованном виде) необходимо указать адрес прокси сервера и произвести дополнительную настройку сертификатов для него. В консоли виртуальной машины управления HostedEngine выполните:

# engine-config -s SpiceProxyDefault=https://proxy.redvirt:3128

После настройки перезапустите сервис ovirt-engine (на время перезапуска управление системой РЕД Виртуализации будет не доступно):

# systemctl restart ovirt-engine.service

Настройка проси сервера

На примере РЕД ОС 8 в конфигурации «Сервер минимальный».

1. Произведите установку операционной системы на прокси сервере.
2. Установите пакет squid. Для этого в консоли прокси сервера выполните команду:

   # dnf install squid

3. В консоли прокси сервера создайте запрос на подписание сертификата:

   # openssl req -newkey rsa:2048 -subj '/C=US/O=RED Soft./CN=proxy.redvirt' -nodes -keyout proxy.key -out proxy.req


Будет создано два файла: proxy.key—закрытый ключ и proxy.req—запрос на подписание сертификата.

Важно!

В поле subj необходимо указать страну (C) и организацию (O) такие же, как и в корневом сертификате системы РЕД Виртуализация. Для этого в консоли виртуальной машины управления выполните:

# openssl x509 -in /etc/pki/ovirt-engine/ca.pem -noout -text | grep DirName

4. Полученный в результате файл запроса proxy.req скопируйте на виртуальную машину управления HostedEngine в директорию /etc/pki/ovirt-engine/requests/
5. Подпишите запрос сертификата в консоли виртуальной машины управления HostedEngine:

   /usr/share/ovirt-engine/bin/pki-enroll-request.sh --name=proxy --days=3650 --subject='/C=US/O=RED Soft/CN=proxy.redvirt'


Файл сертификата будет размещен в директории /etc/pki/ovirt-engine/certs и будет называться proxy.cer.


6. Скопируйте с виртуальной машины управления HostedEngine подписанный файл сертификата на прокси сервер.
7. Разместите файл закрытого ключа proxy.key и файл сертификата proxy.cer в директории /etc/squid на прокси сервере. Установите права доступа на файлы:

   # chown :squid /etc/squid/proxy.*
   # chmod 640 /etc/squid/proxy.*

8. Скопируйте с виртуальной машины управления HostedEngine корневой сертификат /etc/pki/ovirt-engine/ca.pem на прокси сервер в директорию /etc/pki/ca-trust/extracted/pem/
9. Выполните обновление корневых сертификатов на прокси сервере:

   # update-ca-trust

10. Разрешите SELinux использовать порт 443:

    # semanage port -m -p tcp -t http_cache_port_t 443

11. Внесите изменения в конфигурационный файл сервиса squid:

    https_port 443 key=/etc/squid/proxy.key cert=/etc/squid/proxy.cer ssl-bump defaultsite=proxy.redvirt
    cache_peer engine.redvirt parent 443 0 no-query originserver ssl sslcafile=/etc/squid/ca.pem name=engine login=PASSTHRU
    cache_peer_access engine allow all
    ssl_bump allow all
    http_access allow all

12. Перезапустите сервис на прокси сервере:

    # systemctl restart squid.service

Подключение через SPICE-proxy

Для подключения к консоли виртуальной машины в веб-интерфейсе выберите нужную виртуальную машину. Перейдите в настройки Параметров консоли (Консоль→Параметры консоли). Включите опцию «Включить SPICE прокси». После чего подключение будет произведено через прокси сервер.

Дата последнего изменения: 10.02.2026

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.