Diese Dokumentation beschreibt, wie ein lokaler Incus‑Client mit einem entfernten Incus‑Server per Trust‑Token verknüpft wird.
Beispielszenario:
- Lokaler Client
- Entferner Incus‑Server:
80.109.18.113 - Remote-Name im Client:
target
Voraussetzungen
- Auf beiden Systemen ist Incus installiert und der Dienst läuft.
- Der entfernte Incus‑Server ist über das Netzwerk erreichbar.
- Die HTTPS‑API von Incus ist auf dem entfernten Server aktiviert (Standard-Port:
8443). - Zugriff per Shell auf den entfernten Server (z. B. SSH).
1. HTTPS‑API auf dem entfernten Incus‑Server aktivieren (falls nötig)
Auf dem entfernten Server einloggen und prüfen, ob die API bereits lauscht:
incus config get core.https_address
Wenn kein Wert gesetzt oder leer ist, die API aktivieren:
incus config set core.https_address "[::]:8443"
Damit lauscht Incus auf IPv4 und IPv6 auf Port 8443.
2. Trust‑Token auf dem entfernten Server erzeugen
Auf dem entfernten Server einen Trust‑Token für einen neuen Client erzeugen:
incus config trust add workstation
Hinweise:
workstationist ein frei wählbarer Name und dient nur zur Identifikation des Client‑Zertifikats im Incus‑Truststore.Der Befehl gibt einen Token aus, z. B.:
Token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9....- Diesen Token vollständig markieren und kopieren (inklusive aller Zeichen).
3. Entfernten Server am lokalen Client hinzufügen
Auf dem lokalen Client folgenden Befehl ausführen:
incus remote add target 80.109.18.113
Der Client erzeugt dabei automatisch ein neues Client‑Zertifikat und zeigt z. B. an:
Generating a client certificate. This may take a minute...
Certificate fingerprint: f3b22aea12b0aeb519aeaf2fda211c97260ec2b0fecef740f314bbdfd154b240
ok (y/n/[fingerprint])?
Den Fingerprint mit y bestätigen:
ok (y/n/[fingerprint])? y
Anschließend fordert der Client einen Trust‑Token an:
Trust token for target:
Hier nun den zuvor auf dem entfernten Server erzeugten Token einfügen und mit Enter bestätigen.
Wenn der Token akzeptiert wird, ist der Remote erfolgreich hinzugefügt.
4. Remote-Verbindung testen
Liste der konfigurierten Remotes anzeigen
incus remote list
Es sollte u. a. angezeigt werden:
+--------+-----------------+---------------+----------+--------+
| NAME | URL | PROTOCOL | AUTH TYPE| STATIC |
+--------+-----------------+---------------+----------+--------+
| local | unix:// | lxd | tls | yes |
| target | https://80.109.18.113:8443 | lxd | tls | no |
+--------+-----------------+---------------+----------+--------+
Container auf dem entfernten Server auflisten
incus list target:
Wenn hier die entfernten Instanzen angezeigt werden, ist die Trust‑Beziehung korrekt eingerichtet.
5. Häufige Probleme
5.1. Kein Token ausgegeben
Symptom:
incus config trust add
zeigt nur die Hilfe an und keinen Token.
Lösung:
Immer einen Namen für den neuen Trust‑Eintrag angeben, z. B.:
incus config trust add workstation
Erst dann wird ein Token generiert.
5.2. Verbindung zu Port 8443 nicht möglich
- Firewall prüfen (z. B.
nftables,iptables,ufw,firewalld). - Sicherstellen, dass eingehende Verbindungen auf Port
8443/tcperlaubt sind. - Auf korrekte IP‑Adresse achten (z. B. öffentliche vs. interne Adresse).
5.3. Falscher oder abgelaufener Token
Wenn beim Einfügen des Tokens ein Fehler gemeldet wird oder nichts passiert:
Auf dem entfernten Server einen neuen Token erzeugen:
incus config trust add workstation- Den neuen Token sauber kopieren (ohne zusätzliche Zeilenumbrüche oder Leerzeichen).
- Den
incus remote addBefehl auf dem Client erneut ausführen.
6. Kurzreferenz
Auf dem entfernten Server:
# HTTPS‑API (falls nötig) aktivieren
incus config set core.https_address "[::]:8443"
# Trust‑Token für neuen Client erzeugen
incus config trust add workstation
Auf dem lokalen Client:
# Remote hinzufügen
incus remote add target 80.109.18.113
# Beim Prompt "ok (y/n/[fingerprint])?" → y
# Beim Prompt "Trust token for target:" → Token einfügen
# Test
incus list target:
Damit ist der lokale Client sauber mit dem entfernten Incus‑Server über Trust‑Token verbunden.