17.1、pvedaemon-Proxmox VE API守护程序

该守护程序在127.0.0.1:85上公开整个Proxmox VE API。 它以root身份运行,并有权执行所有特权操作。

  1. 注意
  2. 守护程序仅侦听本地地址,因此您无法从外部访问它。pveproxy守护程序将API公开给外界。

17.2、pveproxy-Proxmox VE API代理守护程序

该守护程序使用HTTPS在TCP端口8006上公开整个Proxmox VE API。 它以用户www-data的身份运行,并且具有非常有限的权限。 需要更多权限的操作将转发到本地pvedaemon。

针对其他节点的请求将自动转发到那些节点。 这意味着您可以通过连接到单个Proxmox VE节点来管理整个群集。

17.2.1、基于主机的访问控制

可以配置类似“ apache2”的访问控制列表。 从文件/ etc / default / pveproxy读取值,例如:

  1. ALLOW_FROM="10.0.0.1-10.0.0.5,192.168.0.0/22"
  2. DENY_FROM="all"
  3. POLICY="allow"

可以使用Net :: IP可以理解的任何语法来指定IP地址。 名称all是0/0的别名。

默认策略是允许。

Match POLICY=deny POLICY=allow
Match Allow only allow allow
Match Deny only deny deny
No match deny allow
Match Both Allow & Deny deny allow

17.2.2、SSL密码套件

您可以在/ etc / default / pveproxy中定义密码列表,例如

  1. CIPHERS="ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256"

以上是默认设置。 有关所有可用选项的列表,请参见openssl软件包的ciphers(1)手册页。

此外,您可以定义客户端在/ etc / default / pveproxy中选择使用的密码(默认是客户端和pveproxy可用的列表中的第一个密码):

HONOR_CIPHER_ORDER=0

17.2.3、Diffie-Hellman参数

您可以通过将DHPARAMS设置为包含PEM格式的DH参数的文件的路径,来在/ etc / default / pveproxy中定义使用的Diffie-Hellman参数。

DHPARAMS="/path/to/dhparams.pem"

如果未设置此选项,则将使用内置的skip2048参数。

  1. 注意
  2. 仅当协商使用DH密钥交换算法的密码套件时才使用DH参数。

17.2.4、备用HTTPS证书

您可以将使用的证书更改为外部证书,也可以更改为通过ACME获得的证书。

pveproxy使用/etc/pve/local/pveproxy-ssl.pem和/etc/pve/local/pveproxy-ssl.key(如果存在),然后回退到/etc/pve/local/pve-ssl.pem和/ etc /pve/local/pve-ssl.key。私钥可能不使用密码。

有关详细信息,请参见文档的“主机系统管理”一章。

17.2.5、压缩

如果客户端支持,默认情况下pveproxy对可压缩内容使用gzip HTTP级压缩。可以在/etc/default/pveproxy中禁用它

COMPRESSION=0

17.3、pvestatd-Proxmox VE状态守护程序

该守护程序会定期查询VM,存储设备和容器的状态。 结果被发送到集群中的所有节点。

17.4、spiceproxy-SPICE代理服务

SPICE(独立计算环境的简单协议)是一种开放的远程计算解决方案,可让客户端访问远程显示器和设备(例如键盘,鼠标,音频)。 主要用例是获得对虚拟机和容器的远程访问。

该守护程序侦听TCP端口3128,并实现HTTP代理以将CONNECT请求从SPICE客户端转发到正确的Proxmox VE VM。 它以用户www-data的身份运行,并且具有非常有限的权限。

17.4.1、基于主机的访问控制

可以像访问控制列表一样配置“ apache2”。 从文件/ etc / default / pveproxy读取值。有关详细信息,请参阅pveproxy文档。