libvirt astra se 1.6 shutdown/reboot

oko

New member
Сообщения
1 257
#1
Доброго времени суток, коллеги!
Возникла надобность поковырять kvm (который libvirt, который qemu) в "голой" Астре 1.6...
Спустя часа 2 разобрался, что надо забыть про мануал https://wiki.astralinux.ru/pages/viewpage.action?pageId=27363213 и работать по-старинке (в первую голову sudo astra-mic-control disable, потом apt install virtinstall и т.д.)...
Теперь гостевые машины стартуют, работают, bridge даже поддерживается (внезапно! ожидал проблем и на этом этапе). Вот только при попытке исполнения привилегированных операций на уровне гипервизора - например, virsh -c qemu:///system shutdown ИМЯ_МАШИНЫ или virsh -c qemu:///system autostart ИМЯ_МАШИНЫ или virsh -c qemu:///system reboot ИМЯ_МАШИНЫ выходит веселый "Access denied" с примерно такими сообщениями в syslog:
libvirtd: virPolkitCheckAuth - no polkit agent available to authenticate action 'org.libvirt.unix.manage'
libvirtd: virDomaniShutdownEnsureACL - access denied


Пользователь добавлен в группы libvirt-admin, kvm, libvirt-qemu. Первое сообщение в логе тоже прочел (внезапно) и попробовал поиграть с PolKit (как в оф.мане libvirt: https://libvirt.org/auth.html) с правилами в /etc/polkit-1/localauthority/50-local.d в формате pkla. Но, увы, избавившись от ошибки авторизации (во всяком случае, она исчезла в syslog), со второй ошибкой справиться не удалось...
Собственно, ряд вопросов:
- это специально недопиленный PolKit, который автоматически не создает правил для libvirt?
- или все дело в том, что libvirtd авторизуется через Parsec?
- тогда причем здесь PolKit-авторизация, которая отрабатывает по умолчанию (даже если работать по мануалу https://wiki.astralinux.ru/pages/viewpage.action?pageId=27363213)?
И, главное, что со всем этим делать, чтобы получить рабочее решение в части shutdown, reboot, destroy и проч. операций с вирт.машинами?
"Брест" не предлагать - была б его ценовая политика более вменяемой (особенно при количестве машин от 2 до 5 шт.), был бы другой разговор...
 

clop1000

New member
Сообщения
129
#2
Удалось победить эту проблему?
А то совершенно невозможно работать с виртуалками - не остановить, не запустить.
 

oko

New member
Сообщения
1 257
#3
to clop1000
Особо не ковырял дальше - остановился на операциях средствами самих ВМ, либо через убийство процесса. Мне, благо, пока чистая ALSE в качестве гипервизора для промышленного решения не требуется...
Пошаговку расписал тут...
 

clop1000

New member
Сообщения
129
#4
А прошу прощения за глупый вопрос - а каким образом можно погасить процесс виртуальной машины не вырубая весь сервис?
 

oko

New member
Сообщения
1 257
#5
to clop1000
Проверить не могу - банально нет под рукой подходящего железа, чтобы гипервизор развернуть. Но, насколько помню, надо смотреть выхлоп ps ax | grep virsh - там явно будет заметна стартанувшая машина. Вот этот PID и надо убивать. Хотя такой способ крайне плох, поскольку сродни удару дубиной по голове во время шахматной партии, ага...
Надо разобраться с проблемой PolKit, но пока, откровенно, не с руки...
 

clop1000

New member
Сообщения
129
#6
to clop1000
Проверить не могу - банально нет под рукой подходящего железа, чтобы гипервизор развернуть. Но, насколько помню, надо смотреть выхлоп ps ax | grep virsh - там явно будет заметна стартанувшая машина. Вот этот PID и надо убивать. Хотя такой способ крайне плох, поскольку сродни удару дубиной по голове во время шахматной партии, ага...
Надо разобраться с проблемой PolKit, но пока, откровенно, не с руки...
А думаешь что это PolKit мешает жить? Не астровская Parsec ?
 

clop1000

New member
Сообщения
129
#7
Кажется смог победить - включением МКЦ - мандадтного котроля целостности.
И установкой разрешить polickkit меню
 

oko

New member
Сообщения
1 257
#8
to clop1000
Забава. Т.е. все-таки имеется зависимость от МКЦ. Надо будет поиграться еще раз...
 

clop1000

New member
Сообщения
129
#9
А может это определенно где то в PAM или PolKit ?
Может там где то библиотека которая МЦК сверяет вызывается (ну pam условие)?
 

oko

New member
Сообщения
1 257
#10
to clop1000
Все возможно. Надо тестировать и разбираться, но, повторюсь, нет железа под рукой...
 

clop1000

New member
Сообщения
129
#11
Я пока ковырялся не смог найти причину)
Пока лечение только одно - включение МКЦ