libvirt

libvirt

開発元かいはつもと	Red Hat libvirt community[1]
最新さいしん版ばん	6.3.0 / 2020年ねん5月がつ5日にち (4年ねん前まえ) (2020-05-05)[1]
リポジトリ	gitlab.com/libvirt/libvirt
プログラミング 言語げんご	C
プラットフォーム	クロスプラットフォーム
種別しゅべつ	仮想かそう化か管理かんりAPI
ライセンス	LGPL
公式こうしきサイト	libvirt.org
テンプレートを表示ひょうじ

libvirtとは、仮想かそう化か管理かんり用ようの共通きょうつうAPIを提供ていきょうする、レッドハットを中心ちゅうしんとしたオープンソースプロジェクトである。

libvirtは仮想かそう機械きかいの制御せいぎょを抽象ちゅうしょう化かしたライブラリである。 本ほんライブラリの特徴とくちょうは、サポート範囲はんいが広ひろいことである。 サポートしている仮想かそう化かは、現在げんざいXen、KVM、QEMU、LXC、OpenVZ、UML、VirtualBox、VMware ESX・GSX・Workstation・Player、Hyper-V、そしてクラスタ管理かんりソフトOpenNebulaである。 更さらなる対象たいしょう仮想かそう機械きかいの拡大かくだいを目指めざして例たとえば、対応たいおうやLinux-VServerのサポートをどうするかなどが開発かいはつ者しゃメーリングリスト上じょうで議論ぎろんされた。 また、様々さまざまな版はん数すうでのサポートも特徴とくちょうである。たとえば、Xenのリリースされたさまざまな版はん（例たとえばXen3.1.0やXen3.0.3など）で動作どうさする。またUnix系けいオペレーティングシステムだけでなく、Windows上うえでもMinGWやCygwinを使つかえば動作どうさする。

libvirt自体じたいが多おおくの種類しゅるいの仮想かそう化かをサポートしていても、必かならずしもlibvirtを利用りようしているアプリケーションが全すべての仮想かそう化かをサポートしているというわけではなく、KVMやXenなどがlibvirtを利用りようしているアプリケーションのサポートの中心ちゅうしんとなっている。

またハードウェアプラットフォームに着目ちゃくもくすると、CPUの場合ばあい、x86、x86-64、IA-64、POWERなどをサポートしており、ビット (32/64) およびエンディアンを問とわない。

このような幅広はばひろいサポートを行おこなっているため、仮想かそう機械きかいを制御せいぎょするインタフェースとしては、事実じじつ上じょうの標準ひょうじゅんの地位ちいを築きずきつつある。 例たとえば、RHEL5上うえで仮想かそう機械きかいを管理かんりするためのアプリケーションであるVirtual Machine Managerの実装じっそうにおいても利用りようされている^[2]。

本ほんソフトウェアのライセンスはLGPLで提供ていきょうされている。このため、GPLで開発かいはつされているXenのライブラリ (libxc) に比くらべてアプリケーション開発かいはつ者しゃの視点してんでは使つかい勝手がってが良よい。

標準ひょうじゅん提供ていきょうAPIはCとPythonである。またその他たの言語げんご (Perl, OCaml, Ruby, Java) のAPIもオプションパッケージで提供ていきょうされている。また、運用うんよう管理かんりの標準ひょうじゅんインタフェースであるCIMへの対応たいおうもIBMを中心ちゅうしんにCMPI CIM Providerとしてlibvirt-CIMの開発かいはつが進すすんでいる。なお、CMPIは、Common Manageability Programming Interfaceの略りゃくである。

セキュリティ拡張かくちょうとして、MACアクセス制御せいぎょとの連携れんけいを考かんがえたsVirtが検討けんとうされている。

本ほんプロジェクトのメンテナーは、Daniel Veillard（通称つうしょうDaniel）、Daniel Berrange（通称つうしょうDan）、Richard W.M.Jones（通称つうしょうRich）などレッドハットの開発かいはつ者しゃである。そのほか、レッドハット以外いがいにもIBMやノベル、富士通ふじつうの開発かいはつ者しゃにソースコードの変更へんこう権けんが与あたえられている。

libvirtの実装じっそうはlibvirt.cを中心ちゅうしんとしたソフトウェア構成こうせいになっている。libvirtのAPIを利用りようしているアプリケーションとしては、管理かんりコマンドvirshが提供ていきょうされている。また、Python Bindingsもlibvirt.cの上位じょういに位置いちする。

一方いっぽう、各種かくしゅ仮想かそう機械きかいの制御せいぎょドライバは、libvirt.cの下したに位置いちする。例たとえばXenの制御せいぎょ層そうの実装じっそうでは、Xen統合とうごう管理かんり層そう (xen_unified.c) から、それぞれのXenのモジュールを呼よび出だす形かたちになっている。ハイパーバイザ直接ちょくせつ (xen_internal.c)、管理かんりツールであるXend (xend_internal.c)、管理かんりデータベースであるxenstore (xs_internal.c) を呼よび出だしている。

また、ネットワーク越こしの制御せいぎょに関かんするコードは、以下いかの通とおりである。クライアント側がわでは、remote_internal.cを介かいしてリクエストを発行はっこうする。サーバ側がわでは、libvirtd（コード的てきには、qemudディレクトリ以下いか）を介かいして、libvirtAPIを使つかって制御せいぎょを行おこなう。

libvirtAPIを使つかう前まえにクライアント認証にんしょうを必要ひつようとする接続せつぞくがある。

接続せつぞくで用もちいるクライアント認証にんしょう方法ほうほうは、管理かんり者しゃが選択せんたくできる。

この選択せんたくは、libvirtAPIを用もちいるアプリケーションに依存いぞんせず、統一とういつ的てきに適用てきようされる。

• サーバ設定せってい
• UNIXドメインソケットによる伝統でんとう的てき権限けんげん管理かんり
• Polkitを使つかったUNIXドメインソケットの認証にんしょう
• ユーザ名めいとパスワードによる認証にんしょう
• ケルベロス認証にんしょう

管理かんり者しゃは、libvirtdの認証にんしょう方法ほうほうを、ネットワークソケット毎ごとに設定せっていすることができる。

この設定せっていは、libvirtdの設定せっていファイル /etc/libvirt/libvirtd.confで行おこなう。

そして、認証にんしょう方法ほうほうは、なし、POLKITそしてSASLの3つから選択せんたくすることができる。

さらに、SASL機構きこうは、将来しょうらいさまざまなオプションを設定せっていできるようになる予定よていである。

libvirtがPolkitをサポートしていない場合ばあい、UNIXドメインソケットに対たいするアクセス制御せいぎょは、伝統でんとう的てきなユーザグループアクセス制御せいぎょにより行おこなわれる。

2種類しゅるいのソケットがあり、ひとつは読よみ書かき可能かのう、もう1つは読よみのみ可能かのうとなっている。

読よみ書かきソケットは、アクセス制御せいぎょが厳きびしく(0700)、ルートユーザのみが使つかうことができる。

読よみのみソケットは、アクセス制御せいぎょがオープン (0777) であり、どのユーザも使つかうことができる。

非ひ特権とっけんユーザにより広ひろいアクセスを許可きょかする場合ばあい、libvirtd.confファイルを編集へんしゅうしunix_sock_rw_permsに許可きょか権限けんげんを設定せっていし、ユーザグループを、unix_sock_groupに設定せっていする必要ひつようがある。例たとえば、前者ぜんしゃの属性ぞくせいを0770にして、後者こうしゃをwheelグループに設定せっていすると、wheelグループの人ひと全員ぜんいんlibvirtdにアクセスできることになる。

libvirtがPolkit認証にんしょうをサポートする場合ばあい、アクセス制御せいぎょは、より進すすんだ形態けいたいになる。

この場合ばあい、unix_sock_authパラメータは、polkitが標準ひょうじゅんになる。そして、ファイルアクセス権限けんげんは、読よみ書かき権限けんげんを含ふくめ0777になる。クライアントアプリケーションは、Polkitと連携れんけいしてアイデンティティを提供ていきょうし、ソケットに接続せつぞくする。

現げんデスクトップセッションのいずれのアプリケーションでも、パスワード認証にんしょうを行おこなうことが、読よみ書かきソケットの標準ひょうじゅんポリシーである。

この方法ほうほうはsudoコマンドによる認証にんしょうと似にている。しかし、クライアントアプリケーションは究極きゅうきょく的てきに特権とっけんユーザ（ルート）として動うごく必要ひつようがない。

そして標準ひょうじゅんポリシーでは、読よみ専用せんようソケットにどのようなアプリケーションも接続せつぞくできる。

ポリシーは/etc/PolicyKit/PolicyKit.confに置おかれたマスター設定せっていファイルによって管理かんり者しゃが変更へんこうできる。

PolicyKit.conf(5)マニュアルページに設定せってい方法ほうほう詳細しょうさいの記述きじゅつがある。

属性ぞくせいとして、2つのlibvirtd操作そうさが設定せっていされている。1つは、読よみ専用せんようのorg.libvirt.unix.monitorである。もう1つは、読よみ書かき可能かのうなorg.libvirt.unix.manageである。

例れいとして、fredに読よみ書かき権限けんげんを与あたえ、joeには管理かんり者しゃパスワードを認証にんしょうを要求ようきゅうする例れいを示しめす。このアクセス制御せいぎょをするためには、以下いかの設定せっていを、PolicyKit.confに追記ついきする必要ひつようがある。

 <match action="org.libvirt.unix.manage">
   <match user="fred">
     <return result="yes"/>
   </match>
 </match>
 <match action="org.libvirt.unix.manage">
   <match user="joe">
     <return result="auth_admin"/>
   </match>
 </match>

TCPソケットを平文へいぶんのまま用もちいたlibvirtdは、標準ひょうじゅんでSASLを認証にんしょう機構きこうとして用もちいる。

SASL機構きこうは、標準ひょうじゅんでは、Digest-MD5を用もちいる。これは、基本きほん的てきなユーザ名めいとパスワード形式けいしきの認証にんしょうである。

データストリームを暗号あんごう化かする方法ほうほうも提供ていきょうしている。このため平文へいぶんのTCPソケットのセキュリティもTLSソケットを使つかった場合ばあいと同等どうとうのセキュリティである。このため、UNIXドメインソケット及およびTLSソケットをSASL認証にんしょうするように設定せっていしておくことは望のぞましい。この設定せっていは、libvirt.conf設定せっていファイルのauth_unix_ro, auth_unix_rw, auth_tlsでSASL認証にんしょうするようにしておく。

使つかい始はじめの段階だんかいでは、ユーザアカウントは定義ていぎされていない。このためクライアントがTCP接続せつぞくすることが出来できない。

ユーザを追加ついかし、設定せっていを行おこなうためには、saslpasswd2コマンドを使つかう。

このコマンドを実行じっこうするに当あたって、アプリケーションがlibvirtであることを明示めいじ的てきに示しめす必要ひつようがある。

この例れいでは、fredをアカウントに追加ついかする例れいを示しめしている。

 # saslpasswd2 -a libvirt fred
 Password: xxxxxx
 Again (for verification): xxxxxx

全ぜんアカウントのリストを見みるためには、sasldblistuser2コマンドを使つかう。このコマンドでは、libvirtのユーザデータベースを指定していする必要ひつようがある。このデータベースは/etc/libvirt/passwd.dbにある。

 # sasldblistusers2 -f /etc/libvirt/passwd.db
 fred@t60wlan.home.berrange.com: userPassword

最後さいごに、ユーザアクセスを停止ていしする場合ばあい、saslpasswd2コマンドを再ふたたび使つかう。

 # saslpasswd2 -a libvirt -d fred

TCPソケットを平文へいぶんのまま用もちいたlibvirtdは、標準ひょうじゅんでSASLを認証にんしょう機構きこうとして用もちいる。

SASL機構きこうは、標準ひょうじゅんでは、Digest-MD5を用もちいる。これは、基本きほん的てきなユーザ名めいとパスワード形式けいしきの認証にんしょうである。

ケルベロス (Kerberos) 認証にんしょうのシングルサインオンを有効ゆうこうにするには、libvirt用ようSASL設定せっていファイルを変更へんこうする必要ひつようがある。そのファイルは、/etc/sasl2/libvirt.confである。そして、mech_listパラメータは、digest-md5の代かわりにgssapiに変更へんこうする必要ひつようがある。

もし、UNIXドメインソケットやTLSソケットに対たいしてSASLが有効ゆうこうになっている場合ばあい、Kerberosは、SASLを使つかうことができる。DIGEST-MD5のように、ケルベロス認証にんしょう機構きこうは、セッションのデータ暗号あんごう化か機構きこうを提供ていきょうする。

ディストリビューションによっては、SASL-Kerberosプラグインをデフォルトでインストールしない。この場合ばあい、cyrus-sasl-gssapiなどのパッケージをインストールすることが必要ひつようになる。

ケルベロス認証にんしょうプラグインがインストールされているかどうか調しらべるためには、pluginviewerを実行じっこうして、gssapiがリストされるか確認かくにんする必要ひつようがある。

 # pluginviewer
 ...snip...
 Plugin "gssapiv2" [loaded],     API version: 4
         SASL mechanism: GSSAPI, best SSF: 56
         security flags: NO_ANONYMOUS|NO_PLAINTEXT|NO_ACTIVE|PASS_CREDENTIALS|MUTUAL_AUTH
         features: WANT_CLIENT_FIRST|PROXY_AUTHENTICATION|NEED_SERVER_FQDN

次つぎに、ケルベロス認証にんしょうのレルムの管理かんり者しゃは、プリンシプルをlibvirtサーバ用ように発行はっこうする必要ひつようがある。

プリンシプルは、ホスト毎ごとに、libvirtdに対応たいおうして一ひとつ割わり当あてる必要ひつようがある。

そして、プリンシプルは、libvirt/full.hostname@KERBEROS.REALMと名なづける必要ひつようがある。

この作業さぎょうは、通常つうじょうkadmin.localコマンドをケルベロス認証にんしょうサーバで実行じっこうして行おこなわれる。しかしながらケルベロス認証にんしょうサーバによっては、サービスプリンシプルを設定せっていするために他たの方法ほうほうが必要ひつような場合ばあいもある。

一度いちど生成せいせいされると、プリンシプルは、キータブとしてエクスポートされる。そしてlibvirtd向むけには、/etc/libvirt/krb5.tabに設定せっていされる。

 # kadmin.local
 kadmin.local: add_principal libvirt/foo.example.com
 Enter password for principal "libvirt/foo.example.com@EXAMPLE.COM":
 Re-enter password for principal "libvirt/foo.example.com@EXAMPLE.COM":
 Principal "libvirt/foo.example.com@EXAMPLE.COM" created.
 
 kadmin.local:  ktadd -k /root/libvirt-foo-example.tab libvirt/foo.example.com@EXAMPLE.COM
 Entry for principal libvirt/foo.example.com@EXAMPLE.COM with kvno 4, encryption type Triple DES cbc mode with HMAC/sha1     added to keytab WRFILE:/root/libvirt-foo-example.tab.
 Entry for principal libvirt/foo.example.com@EXAMPLE.COM with kvno 4, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/root/libvirt-foo-example.tab.
 Entry for principal libvirt/foo.example.com@EXAMPLE.COM with kvno 4, encryption type DES with HMAC/sha1 added to keytab WRFILE:/root/libvirt-foo-example.tab.
 Entry for principal libvirt/foo.example.com@EXAMPLE.COM with kvno 4, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/root/libvirt-foo-example.tab.
 
 kadmin.local: quit
 
 # scp /root/libvirt-foo-example.tab root@foo.example.com:/etc/libvirt/krb5.tab
 # rm /root/libvirt-foo-example.tab

ケルベロス認証にんしょうするlibvirtに接続せつぞくしたいアプリケーションがユーザプリンシプルを取得しゅとくするためにkinitを実行じっこうする必要ひつようはほとんどない。 PAMがケルベロス認証にんしょう向むけに設定せっていされている場合ばあい、デスクトップセッションにログインした時点じてんで自動的じどうてきに取得しゅとくしているためである。

libvirtのXenドライバは、3.0.1以降いこうのXenを制御せいぎょすることができる。

libvirtのXenドライバは、複数ふくすうの制御せいぎょ方法ほうほうの組くみ合あわせでXen仮想かそう機械きかいを制御せいぎょする。

• XenD: libvirt Xenドライバを使つかうためにはXenDにアクセスできることが必須ひっすである。このドライバを使つかうためには、XenDの設定せっていファイル/etc/xen/xend-config.sxpでUNIXドメインソケットインタフェースを利用りよう可能かのうにしておく必要ひつようがある。そのためにはこのファイルで、(xend-unix-server yes) と設定せっていしておく必要ひつようがある。このソケットでのアクセスパスは、特権とっけんユーザ（ルート）に通常つうじょう限かぎられる。その他たの選択肢せんたくしとしてHTTPインタフェースを使つかうことができる。しかしセキュリティに注意ちゅういする必要ひつようがある。

• XenStoreD: Xenstoredにアクセスして情報じょうほうを取得しゅとくすることは、ドメイン情報じょうほう取得しゅとくの際さいのCPUのオーバーヘッドを減へらすことができる。
• Hypercalls: ハイパーコールを発行はっこうして情報じょうほうを取得しゅとくする。ドメイン情報じょうほうを取得しゅとくするには、一番いちばん効率こうりつ的てきなアクセス方法ほうほうである。
• XM config: 3.0.4以前いぜんのXenでは、XenDにおいて不ふ活性かっせいドメインの制御せいぎょは出来できなかった。このため、これらのXenを制御せいぎょする場合ばあい、libvirtでは/etc/xenのディレクトリにXM設定せっていファイルを保存ほぞんして不ふ活性かっせいドメインの制御せいぎょをしている。このディレクトリに、設定せっていファイル以外いがいを決けっしておいてはいけない。

libvirtのQEMUドライバは0.8.1以降いこうのQEMUを管理かんりすることができる。そして、このドライバはQEMUコマンド書式しょしきで制御せいぎょできるいずれの仮想かそう機械きかいにも適用てきようできる。QEMU形式けいしきのVMには、KVMとXennerが含ふくまれる。

利用りようする前まえに必要ひつような条件じょうけんは以下いかの通とおりである。

• QEMU: ドライバは/usr/bin以下いかのqemu, qemu-system-x86_64, qemu-system-mips, qemu-system-mipsel, qemu-system-sparc, qemu-system-ppcの存在そんざいをチェックする。チェック結果けっかは、XMLファイルのcapabilityの項目こうもくで見みることができる。
• KVM: ドライバは/usr/bin/qemu-kvmコマンドと/dev/kvmのデバイスノードの存在そんざいをチェックする。もし両方りょうほう存在そんざいすれば、ハードウェア支援しえん機構きこう前提ぜんていのゲストドメインを使つかうことができる。
• Xenner: ドライバは/usr/bin/xennerコマンドと/dev/kvmのデバイスノードの存在そんざいをチェックする。もし両方りょうほう存在そんざいすれば、Xen準じゅん仮想かそう化かドメインをKVMを用もちいて使つかうことができる。

ネットワーク越ごしのハイパーバイザを管理かんりすることができる。

• Red Hat Enterprise Linux
• Pythonを使つかっている製品せいひんあるいはソフトウェアの一覧いちらん

• the virtualization API
  • リリース履歴りれき
  • libvirt Code量りょうの変遷へんせん
  • コンパイル状況じょうきょう確認かくにん
  • ソースコード
  • libvirtドライバ毎ごと機能きのうの一覧いちらん表ひょう
• Perl bindings
• Ruby bindings
• OCaml bindings
• Java bindings
• CIM provider - DMTFが策定さくていしているCIMの仮想かそう機械きかいに関かんするインタフェースを実装じっそうしたものである。Libvirtがサポートしている仮想かそう機械きかいのうち、Xen, KVM, Linux Containersの3種類しゅるいをサポートしている。なお、サポートしている仕様しよう書しょは、src/profiles.hの記述きじゅつを参照さんしょうのこと。なお、Xenの外部がいぶプロジェクトとして進すすんでいたXen-CIMは、休眠きゅうみんプロジェクト[2]になっている。そして、Xenを使つかう場合ばあいは、Citrixの提供ていきょうするKenshoもしくは、本ほんプロジェクトのコードを使つかう必要ひつようがある。
  • CIMテスト状じょう況きょう

• Windows Support - MinGWのコンパイラを用もちいてバイナリを作成さくせいすることができる。詳細しょうさいは以下いかのページを参照さんしょうのこと[3]。また、WindowsでのAPIのglibcとの非ひ互換ごかんはかなり大おおきいが、GNU Portability Library (Gnulib) をlibvirtパッケージの中なかに取とり込こむことにより、互換ごかん性せいの手間てまを回避かいひしている。

• アプリケーションリスト
• virt-manager（仮想かそう機械きかい運用うんよう管理かんりソフト） - 仮想かそう機械きかいインストーラvirt-installなどもこのページにある。
• virt-top（仮想かそう機械きかい版ばんtop）