SYNOPSIS
pveproxy <COMMAND> [ARGS] [OPTIONS] です。
pveproxy help [OPTIONS].
指定したコマンドに関するヘルプを表示します。
- --extra-args <array> です。
-
特定のコマンドのヘルプを表示します。
- --verbose <ブール値
-
冗長出力フォーマット。
pveproxyの再起動
デーモンを再起動します(起動していない場合は起動します)。
pveproxy start [OPTIONS].
デーモンを起動します。
- --debug <boolean>(デフォルト = 0)
-
デバッグモード - フォアグラウンドのまま
pveproxyステータス
デーモンの状態を取得します。
pveproxy 停止
デーモンを停止します。
説明
このデーモンは、HTTPSを使用してTCPポート8006でProxmox VE API全体を公開します。ユーザーwww-dataとして実行され、非常に限定されたパーミッションを持っています。 より多くのパーミッションを必要とする操作は、ローカルのpvedaemonに転送されます。
つまり、1台のProxmox VEノードに接続するだけで、クラスタ全体を管理できます。
ホストベースのアクセス制御
apache2" ライクなアクセス制御リストを設定することができます。値は/etc/default/pveproxy ファイルから読み込まれます。例えば
ALLOW_FROM="10.0.0.1-10.0.0.5,192.168.0.0/22" DENY_FROM="all" POLICY="allow"
IPアドレスは、Net::IPが理解できる構文を使用して指定できます。allという名前は、0/0と::/0(すべての IPv4 アドレスと IPv6 アドレスを意味する) のエイリアスです。
デフォルトのポリシーは許可です。
| 試合 | POLICY=拒否 | POLICY=許可 |
|---|---|---|
マッチ許可のみ |
認める |
認める |
マッチ拒否のみ |
争う |
争う |
該当なし |
争う |
認める |
許可と拒否の両方に対応 |
争う |
認める |
リスニングIPアドレス
デフォルトでは、pveproxyデーモンとspiceproxyデーモンはワイルドカードアドレスをリッスンし、IPv4クライアントとIPv6クライアントの両方からの接続を受け入れます。
etc/default/pveproxyでLISTEN_IP を設定することで、pveproxyデーモンとspiceproxyデーモンがバインドする IP アドレスを制御できます。IP アドレスはシステム上で設定する必要があります。
sysctl net.ipv6.bindv6onlyをデフォルトでない1に設定すると、デーモンがIPv6クライアントからの接続のみを受け付けるようになりますが、通常は他の多くの問題も発生します。この設定を行った場合、sysctl設定を削除するか、LISTEN_IPを 0.0.0.0(IPv4クライアントのみを許可する)に設定することをお勧めします。
LISTEN_IPは、ソケットを内部インターフェイスに制限するためだけに使うことができます:
LISTEN_IP="192.0.2.1"
同様に、IPv6アドレスを設定することもできます:
LISTEN_IP="2001:db8:85a3::1"
リンクローカルIPv6アドレスを指定したい場合は、インターフェース名そのものを指定する必要があることに注意してください。例えば
LISTEN_IP="fe80::c463:8cff:feb9:6a4e%vmbr0"
|
クラスタ内のノードは、通信のためにpveproxyにアクセスする必要があります。クラスタ化されたシステムでLISTEN_IP を設定することはお勧めしません。 |
変更を適用するには、ノードを再起動するか、pveproxyおよびspiceproxyサービスを完全に再起動する必要があります:
systemctl restart pveproxy.service spiceproxy.service
|
reload とは異なり、pveproxy サービスの再起動は、仮想ゲストからの実行中のコンソールやシェルなど、いくつかの長時間実行中のワーカープロセスを中断する可能性があります。そのため、この変更を有効にするにはメンテナンスウィンドウを使用してください。 |
SSL 暗号スイート
etc/default/pveproxyで、CIPHERS(TLS ⇐ 1.2) およびCIPHERSUITES(TLS >= 1.3) キーを使用して暗号化リストを定義できます。例えば
CIPHERS="ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256" CIPHERSUITES="TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256"
上記はデフォルトです。使用可能なオプションの一覧は、openssl パッケージの ciphers(1) man ページを参照してください。
さらに、/etc/default/pveproxyで使用される暗号をクライアントが選択するように設定できます (デフォルトは、クライアントとpveproxy の両方で使用可能なリストの最初の暗号です):
honor_cipher_order=0
対応TLSバージョン
安全でないSSLバージョン2と3は、pveproxyでは無条件に無効化されます。 1.1未満のTLSバージョンは、最近のOpenSSLバージョンではデフォルトで無効化され、pveproxyはこれに従います(/etc/ssl/openssl.cnfを参照)。
TLSバージョン1.2または1.3を無効にするには、/etc/default/pveproxyで以下を設定します:
disable_tls_1_2=1
または、それぞれ
disable_tls_1_3=1
|
|
特別な理由がない限り、サポートされるTLSバージョンを手動で調整することは推奨されません。 |
Diffie-Hellman パラメータ
etc/default/pveproxyで使用するDiffie-Hellmanパラメータを定義するには、DHPARAMSをPEM形式のDHパラメータを含むファイルのパスに設定します。
DHPARAMS="/path/to/dhparams.pem"
このオプションが設定されていない場合、組み込みのskip2048パラメータが使用されます。
|
|
DHパラメータは、DH鍵交換アルゴリズムを利用する暗号スイートがネゴシエートされた場合にのみ使用されます。 |
代替 HTTPS 証明書
使用する証明書は、外部証明書または ACME 経由で取得した証明書に変更できます。
pveproxy は、/etc/pve/local/pveproxy-ssl.pemと/etc/pve/local/pveproxy-ssl.key があればそれを使用し、/etc/pve/local/pve-ssl.pemと/etc/pve/local/pve-ssl.key にフォールバックします。 秘密鍵はパスフレーズを使用しないこともできます。
etc/default/pveproxyで TLS_KEY_FILEを設定するなどして、証明書の秘密鍵/etc/pve/local/pveproxy-ssl.keyの場所を上書きすることができます:
TLS_KEY_FILE="/secrets/pveproxy.key"
|
|
付属のACMEインテグレーションはこの設定に対応していません。 |
詳細については、マニュアルの「ホストシステム管理」の章を参照してください。
レスポンス・コンプレッション
デフォルトでは、pveproxy は圧縮可能なコンテンツに対して gzip HTTP レベル圧縮を使用します。これは/etc/default/pveproxyで無効にできます。
COMPRESSION=0
著作権および免責事項
著作権 © 2007-2022 Proxmox Server Solutions GmbH
このプログラムはフリー・ソフトウェアです。あなたは、Free Software Foundationによって発行されたGNU Affero General Public Licenseのバージョン3、またはそれ以降のバージョンのいずれかに従って、このプログラムを再配布したり、変更したりすることができます。
このプログラムは有用であることを期待して配布されていますが、商品性や特定の目的への適合性についての暗黙の保証もなく、いかなる保証もありません。詳細はGNU Affero General Public Licenseをご覧ください。
あなたはこのプログラムとともにGNU Affero General Public Licenseのコピーを受け取っているはずです。 そうでない場合は、https://www.gnu.org/licenses/をご覧ください。