17、重要的服务守护进程

17.1、pvedaemon-Proxmox VE API守护程序

该守护程序在127.0.0.1:85上公开整个Proxmox VE API。 它以root身份运行，并有权执行所有特权操作。

注意
守护程序仅侦听本地地址，因此您无法从外部访问它。pveproxy守护程序将API公开给外界。

17.2、pveproxy-Proxmox VE API代理守护程序

该守护程序使用HTTPS在TCP端口8006上公开整个Proxmox VE API。 它以用户www-data的身份运行，并且具有非常有限的权限。 需要更多权限的操作将转发到本地pvedaemon。

针对其他节点的请求将自动转发到那些节点。 这意味着您可以通过连接到单个Proxmox VE节点来管理整个群集。

17.2.1、基于主机的访问控制

可以配置类似“ apache2”的访问控制列表。 从文件/ etc / default / pveproxy读取值，例如：

ALLOW_FROM="10.0.0.1-10.0.0.5,192.168.0.0/22"
DENY_FROM="all"
POLICY="allow"

可以使用Net :: IP可以理解的任何语法来指定IP地址。 名称all是0/0的别名。

默认策略是允许。

17.2.2、SSL密码套件

您可以在/ etc / default / pveproxy中定义密码列表，例如

CIPHERS="ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256"

以上是默认设置。 有关所有可用选项的列表，请参见openssl软件包的ciphers（1）手册页。

此外，您可以定义客户端在/ etc / default / pveproxy中选择使用的密码（默认是客户端和pveproxy可用的列表中的第一个密码）：

HONOR_CIPHER_ORDER=0

17.2.3、Diffie-Hellman参数

您可以通过将DHPARAMS设置为包含PEM格式的DH参数的文件的路径，来在/ etc / default / pveproxy中定义使用的Diffie-Hellman参数。

DHPARAMS="/path/to/dhparams.pem"

如果未设置此选项，则将使用内置的skip2048参数。

注意
仅当协商使用DH密钥交换算法的密码套件时才使用DH参数。

17.2.4、备用HTTPS证书

您可以将使用的证书更改为外部证书，也可以更改为通过ACME获得的证书。

pveproxy使用/etc/pve/local/pveproxy-ssl.pem和/etc/pve/local/pveproxy-ssl.key（如果存在），然后回退到/etc/pve/local/pve-ssl.pem和/ etc /pve/local/pve-ssl.key。私钥可能不使用密码。

有关详细信息，请参见文档的“主机系统管理”一章。

17.2.5、压缩

如果客户端支持，默认情况下pveproxy对可压缩内容使用gzip HTTP级压缩。可以在/etc/default/pveproxy中禁用它

COMPRESSION=0

17.3、pvestatd-Proxmox VE状态守护程序

该守护程序会定期查询VM，存储设备和容器的状态。 结果被发送到集群中的所有节点。

17.4、spiceproxy-SPICE代理服务

SPICE（独立计算环境的简单协议）是一种开放的远程计算解决方案，可让客户端访问远程显示器和设备（例如键盘，鼠标，音频）。 主要用例是获得对虚拟机和容器的远程访问。

该守护程序侦听TCP端口3128，并实现HTTP代理以将CONNECT请求从SPICE客户端转发到正确的Proxmox VE VM。 它以用户www-data的身份运行，并且具有非常有限的权限。

17.4.1、基于主机的访问控制

可以像访问控制列表一样配置“ apache2”。 从文件/ etc / default / pveproxy读取值。有关详细信息，请参阅pveproxy文档。