{"id":3856,"date":"2021-08-16T20:28:45","date_gmt":"2021-08-16T18:28:45","guid":{"rendered":"https:\/\/vm.piszki.pl\/?p=3856"},"modified":"2021-08-16T21:03:54","modified_gmt":"2021-08-16T19:03:54","slug":"cloudstack-vm-z-vtpm-i-secure-boot-uefi","status":"publish","type":"post","link":"https:\/\/vm.piszki.pl\/?p=3856","title":{"rendered":"CloudStack – VM z vTPM i Secure boot UEFI"},"content":{"rendered":"

Wirtualizacja dostarcza wszelkich mo\u017cliwych narz\u0119dzi wspomagaj\u0105cych uruchamianie system\u00f3w operacyjnych ze szczeg\u00f3lnymi wymaganiami. Jednym z takich wymaga\u0144 jest zapewnienie mo\u017cliwego bezpiecze\u0144stwa poprzez zastosowanie TPM i UEFI z uruchomieniem typu Secure Boot. Tego typu start systemu gwarantuje, \u017ce nic nie zosta\u0142o zmodyfikowane w programie rozruchowym. O ile w fizycznym ho\u015bcie jest to \u0142atwe we wdro\u017ceniu, o tyle w rozwi\u0105zaniach typ Stack wymaga ju\u017c to troch\u0119 wi\u0119cej pracy. O tym jak jest to rozwi\u0105zane w VMware vSphere pisa\u0142ej ju\u017c tutaj<\/a>. Dzisiaj przetestujemy bardzo podobne rozwi\u0105zanie w CloudStack. Nale\u017cy jednak zwr\u00f3ci\u0107 uwag\u0119, \u017ce istniej\u0105ce VM instalowane z BIOS nie b\u0119d\u0105 mog\u0142y by\u0107 wykorzystane, b\u0119dziecie musieli stworzy\u0107 ca\u0142kowicie nowe, wzorcowe VM z UEFI.<\/p>\n

<\/p>\n

<\/p>\n

Na t\u0119 chwil\u0119 nie ma mo\u017cliwo\u015bci wykorzystania fizycznego TPM w wersji emulowanej w VM tak jak to ma miejsce w vSphere. Oba rozwi\u0105zania, UEFI i TPM, s\u0105 w VM emulowane. Zaczniemy od UEFI, w CloudStack w wersji 4.15 wprowadzono mo\u017cliwo\u015b\u0107 uruchamiania VM z UEFI jako ustawienie zaawansowane, standardowo nadal jest wykorzystywany BIOS. Konfiguracja ca\u0142o\u015bci jest bardzo prosta, wymaga zainstalowanie w systemie operacyjnym hosta pakietu edk2-ovmf (lub po prostu OVMF) . Pakiet ten zawiera wszystkie potrzebne pliki do emulowania UEFI w obu trybach, legacy i secure. CloudStack integruje si\u0119 z tym pakietem poprzez stworzenie pliku:<\/p>\n

\/etc\/cloudstack\/agent\/uefi.properties (\u015bcie\u017cki nale\u017cy dostosowa\u0107, zale\u017cnie od pakietu w danym OS) :<\/p>\n

CentOS 8:<\/p>\n

guest.nvram.template.secure=\/usr\/share\/edk2\/ovmf\/OVMF_VARS.secboot.fd
\nguest.nvram.template.legacy=\/usr\/share\/edk2\/ovmf\/OVMF_VARS.fd
\nguest.loader.secure=\/usr\/share\/edk2\/ovmf\/OVMF_CODE.secboot.fd
\nguest.nvram.path=\/var\/lib\/libvirt\/qemu\/nvram\/
\nguest.loader.legacy=\/usr\/share\/edk2\/ovmf\/OVMF_CODE.secboot.fd<\/p>\n

CentOS 7:<\/p>\n

guest.nvram.template.secure=\/usr\/share\/edk2.git\/ovmf-x64\/OVMF_VARS-with-csm.fd
\nguest.nvram.template.legacy=\/usr\/share\/edk2.git\/ovmf-x64\/OVMF_VARS-pure-efi.fd
\nguest.loader.secure=\/usr\/share\/edk2.git\/ovmf-x64\/OVMF_CODE-with-csm.fd
\nguest.loader.legacy=\/usr\/share\/edk2.git\/ovmf-x64\/OVMF_CODE-pure-efi.fd
\nguest.nvram.path=\/var\/lib\/libvirt\/qemu\/nvram\/<\/p>\n

\n

W\u0142\u0105czenie wymaga restartu cloudstack-agent, sam host musi by\u0107 dodatkowo oznaczony w DB CloudStack \u017ce wspiera UEFI. Nie jest to problem dla nowych instalacji, dla starszych po migracji nale\u017cy t\u0119 flag\u0119 ustawi\u0107 r\u0119cznie w DB (na t\u0119 chwil\u0119). Bez tego spotkamy si\u0119 od razu z komunikatem: Cannot deploy to specified host as host does n’t support uefi vm deployment, returning.<\/p>\n

\"host\"<\/a><\/p>\n

Uruchomienie vTPM wymaga zainstalowania w systemie operacyjnym hosta pakietu swtpm swtpm-tools. Nie wymaga on dodatkowej konfiguracji, do VM dodajemy TPM dok\u0142adnie tak jak to robili\u015bmy w przypadku GPU, poprzez konfiguracj\u0119 XML dodan\u0105 jako ExtraConfig. Definicja urz\u0105dzenia wygl\u0105da tak:<\/p>\n

<devices>
\n<tpm model=’tpm-tis’>
\n<backend type=’emulator’ version=’2.0’\/>
\n<\/tpm>
\n<\/devices><\/p>\n

\n

Now\u0105 VM tworzymy standardowo, w opcjach zaawansowanych ustawiamy UEFI\/Secure, maszyny nie uruchamiamy (fajna opcja dodana w 4.15.1):<\/p>\n

\"vm1\"\"vm2\"<\/p>\n

Dodajemy w ustawieniach wirtualnej maszyny vTPM jako extraconfig (i dopiero wtedy uruchamiamy i instalujemy OS):<\/p>\n

\"vm5\"Poni\u017cej screen pokazuj\u0105cy \u017ce UEFI zosta\u0142o poprawnie rozpoznane przez Windows Instalator:<\/p>\n

\"part\"Mo\u017cemy te\u017c sprawdzi\u0107 czy tworz\u0105 si\u0119 pliki nvram:<\/p>\n

\"nvram\"Ostateczny rezultat wygl\u0105da tak:<\/p>\n

\"vm6\"<\/span><\/a><\/p>\n

I na koniec bonus, jak doda\u0107 do KVM\/VM (CloudStack) urz\u0105dzenia USB? Odpowied\u017a jest prosta, tak jak ka\u017cde inne, po jego wcze\u015bniejszym zidentyfikowaniu. Na poni\u017cszym przyk\u0142adzie dodam kabel USB<\u2014>Serial do mojej VM pe\u0142ni\u0105cej rol\u0119 administracyjn\u0105. Szukamy urz\u0105dzenia poleceniem lsusb \u2013v :<\/p>\n

\n

\"\"<\/p>\n

Nast\u0119pnie preparujemy plik XML i dodajemy go do VM jako extraconfig:<\/p>\n

<devices>
\n<hostdev mode=’subsystem’ type=’usb’ managed=’yes’>
\n<source>
\n<vendor id=’0x0403’\/>
\n<product id=’0x6001’\/>
\n<\/source>
\n<\/hostdev>
\n<\/device><\/p>\n

Uruchamiamy VM i sprawdzamy rezultat, w tym wypadku kable USB<\u2014>Serial dodaje si\u0119 jako wirtualny port COM3:\"usb2\"<\/span><\/code><\/p>\n

\u00a0<\/span><\/code><\/code><\/p>\n<\/div>\n

<\/div>","protected":false},"excerpt":{"rendered":"

Wirtualizacja dostarcza wszelkich mo\u017cliwych narz\u0119dzi wspomagaj\u0105cych uruchamianie system\u00f3w operacyjnych ze szczeg\u00f3lnymi wymaganiami. Jednym z takich wymaga\u0144 jest zapewnienie mo\u017cliwego bezpiecze\u0144stwa poprzez zastosowanie TPM i UEFI z uruchomieniem typu Secure Boot. Tego typu start systemu gwarantuje, \u017ce nic nie zosta\u0142o zmodyfikowane … Continue reading →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"yasr_overall_rating":0,"yasr_post_is_review":"","yasr_auto_insert_disabled":"","yasr_review_type":"","footnotes":""},"categories":[6,45],"tags":[116,108,151,158,122,155,157,135,156],"class_list":["post-3856","post","type-post","status-publish","format-standard","hentry","category-lab","category-poradniki","tag-cloudstack","tag-kvm","tag-qemu","tag-serial","tag-tpm-2-0","tag-uefi","tag-usb","tag-vbs","tag-vtpm"],"yasr_visitor_votes":{"stars_attributes":{"read_only":false,"span_bottom":false},"number_of_votes":0,"sum_votes":0},"_links":{"self":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/3856"}],"collection":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3856"}],"version-history":[{"count":21,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/3856\/revisions"}],"predecessor-version":[{"id":3896,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/3856\/revisions\/3896"}],"wp:attachment":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3856"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3856"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3856"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}