如何选择虚拟控制台

云架构师在配置计算服务时需要做出的一个决定是使用 VNC 还是 SPICE。

虚拟网络计算机 (VNC)

OpenStack 可以配置为使用虚拟网络计算机 (VNC) 协议为租户和管理员提供对实例的远程桌面控制台访问。

功能

1. OpenStack Dashboard (horizon) 可以使用 HTML5 noVNC 客户端在网页上直接为实例提供 VNC 控制台。这需要 nova-novncproxy 服务来桥接公共网络和管理网络。

2. nova 命令行工具可以返回 VNC 控制台的 URL，以便通过 nova Java VNC 客户端访问。这需要 nova-xvpvncproxy 服务来桥接公共网络和管理网络。

安全注意事项

1. 默认情况下，nova-novncproxy 和 nova-xvpvncproxy 服务会打开使用令牌进行身份验证的面向公众的端口。

2. 默认情况下，远程桌面流量未加密。可以启用 TLS 来加密 VNC 流量。请参阅 TLS 和 SSL 简介 以获取适当的建议。

参考文献

1. blog.malchuk.ru, OpenStack VNC 安全。2013. 安全连接到 VNC 端口

2. OpenStack 邮件列表，[OpenStack] nova-novnc SSL 配置 - Havana。2014. OpenStack nova-novnc SSL 配置

3. Redhat.com/solutions, 使用 SSL 加密 OpenStack nova-novacproxy。2014. OpenStack nova-novncproxy SSL 加密

独立计算环境简单协议 (SPICE)

作为 VNC 的替代方案，OpenStack 使用独立计算环境简单协议 (SPICE) 为客户虚拟机提供远程桌面访问。

功能

1. SPICE 受 OpenStack Dashboard (horizon) 的支持，可以直接在实例网页上使用。这需要 nova-spicehtml5proxy 服务。

2. nova 命令行工具可以返回 SPICE 控制台的 URL，以便通过 SPICE-html 客户端访问。

限制

1. 虽然 SPICE 比 VNC 具有许多优势，但 spice-html5 浏览器集成目前不允许管理员利用这些优势。为了利用 SPICE 的多显示器、USB 直通等功能，我们建议管理员在管理网络中使用独立的 SPICE 客户端。

安全注意事项

1. 默认情况下，nova-spicehtml5proxy 服务会打开使用令牌进行身份验证的面向公众的端口。

2. 该功能和集成仍在不断发展。我们将在下一个版本中评估这些功能并提出建议。

3. 与 VNC 类似，此时我们建议从管理网络使用 SPICE，并将其使用限制在少数人。

参考文献

1. OpenStack 管理员指南。SPICE 控制台。SPICE 控制台。

2. bugzilla.redhat.com, Bug 913607 - RFE：支持通过 websockets 隧道传输 SPICE。2013. RedHat bug 913607。