înregistrare Logare
Puncte:0
avatar Server

LibVirt: PXE-boot prin HTTPS?

drapel aq
OmarOthman

Titlul rezumă totul. Am o soluție VM care implică LibVirt, QEmu și KVM. PXE-boot over HTTP funcționează, dar nu funcționează pe HTTPS. Nu există probleme de firewall, am verificat deja asta.

Totul este CentOS Linux.

Aveți idee cum să depanați asta? Googling nu mă duce nicăieri, doar cum să activez PXE-boot (care este făcut și funcționează bine prin HTTP).

169
0 + 0
Nikita Kipriyanov avatar
drapel za
Nikita Kipriyanov
Ar fi mai bine dacă ne arătați jurnalele relevante.
0
Răspunde
drapel in
NiKiZe
Ce versiune de Qemu folosești? Porniți în modul pcbios sau efi? Vedeți mesaje pe ecran când eșuează?
0
Răspunde
drapel cn
shearn89
Dacă funcționează prin HTTP, dar nu prin HTTPS, atunci problema pare că ar putea fi legată de firewall-uri (pe care spuneți că le-ați verificat - poate un alt server funcțional să curgă URL-ul HTTPS?) sau cu ceva de genul SSL.După cum spune @NiKiZe, există mesaje de eroare? Bănuiala mea ar fi că CA este autosemnată și există erori la preluarea URL-ului.
0
Răspunde
Puncte:0
avatar Server
drapel aq
OmarOthman

OK, asta a ajuns să fie destul de interesant. Lasă-mă să împărtășesc soluția.

De fapt, menținem propriul pachet iPXE la compania mea. Este doar o furculiță de https://github.com/ipxe/ipxe unde ajustăm configurațiile (cum ar fi activarea HTTPS în cazul meu), adăugăm propria noastră autoritate de certificare etc. Dar nu am construit toate țintele în iPXE Makefile, doar câteva.

Conform driverului NIC pe care îl utilizează Qemu-KVM, puteți utiliza una dintre țintele din Makefile. În cazul nostru, partea relevantă a fișierului nostru de configurare VM (ceea ce obțineți rulând virsh edit) a fost:

<interface type='bridge'>  
  <mac address='12:34:56:12:34:56'/>  
  <source bridge='br0'/>  
  <model type='virtio'/>  
  <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
</interface>

Este acel „virtio” care ne-a determinat să identificăm ținta potrivită în Makefile: bin/1af41000.rom. Acesta a fost deja folosit de Qemu-KVM, dar desigur că nu îl folosea pe al nostru. Am actualizat linkul simbolic după construirea acelei ținte pentru a se referi la a noastră și asta a fost tot.

Acest articol ne-a ajutat să ne dăm seama cum să ne ocupăm de partea driverelor NIC.

0 + 0
drapel in
NiKiZe
Ar fi trebuit să furnizați informațiile despre iPXE în întrebarea dvs. și atunci când aveți de-a face cu iPXE (și alte lucruri) includeți întotdeauna mesajul de eroare real. În cazul iPXE eroarea pe care ați primit-o când încercați să utilizați https: proto v-ar fi arătat un url ipxe.org, care la rândul său, mai mult sau mai puțin, v-ar fi spus că protocolul nu a fost activat. http://ipxe.org/3c092003
0
Răspunde
drapel aq
OmarOthman
@NiKiZe: Nu a fost cazul. Mesajul de eroare avea un cod de eroare generic care nu era util.
0
Răspunde
drapel in
NiKiZe
Dacă spui asta, atunci care a fost mesajul de eroare real?
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.