我试图更深入地了解Openstack noVNC安全性的架构和设计。我找到了this document。它很有意义,但缺少细节。如果我错了,有人可以证实我的理解是正确的,或者纠正我。
0)noVNC允许Web浏览器中的VNC客户端,适用于没有安装java或vnc客户端的客户端。
1)VNC服务器由虚拟机管理程序提供,每个虚拟机都有自己的VNC服务器,端口为59xx,无法从外部访问。
2)Websocket代理桥接到VNC服务器并为noVNC客户端(浏览器中的javascript)提供服务,比如在6080端口。
3)简单的安全性:VNC密码可以保证安全性,但每次输入都不方便,不易更改。同一个虚拟机管理程序上的每个VM都必须共享相同的密码。不同的计算节点可能使用不同的VNC密码。
4)为了提供更好的访问控制,引入了consoleauth。我们现在可以对VNC使用Openstack身份验证。当出现新的远程控制台请求时,会生成一个动态访问URL(带有令牌),缓存/注册并发送回客户端。之后,只接受以前注册的连接。
我想更多地了解是否/如何创建动态防火墙规则,以及是否/何时令牌无效。我知道最好的方法是阅读源代码,但高级描述也很有价值。感谢。