公用信息模型 (CIM) 系统提供了一个接口,便于使用一组标准 API 从远程应用程序进行硬件级别管理。为了确保 CIM 接口安全,请仅为这些应用程序提供必需的最小访问权限。如果某个应用程序已经置备有根或完全管理员帐户且该应用程序受到影响,则整个虚拟环境就可能会受到影响。

关于此任务

CIM 是一种开放式标准,用于为 ESXi 硬件资源的无代理且基于标准的监控定义一个框架。该框架由一个 CIM 对象管理器(通常称为“CIM 代理程序”)和一组 CIM 提供程序构成。

CIM 提供程序用作提供设备驱动程序和基础硬件管理访问权限的机制。硬件供应商(包括服务器制造商和特定硬件设备供应商)可编写提供程序,以便对其特定设备进行监控和管理。VMware 还会编写一些提供程序,用于对服务器硬件、ESXi 存储基础架构和虚拟化特定资源实施监控。这些提供程序在 ESXi 系统内运行,因此极其轻量且侧重于特定管理任务。CIM 代理程序从所有 CIM 提供程序获取信息,并通过标准 API(最常见的一个是 WS-MAN)将其呈现给外界。

请不要为远程应用程序提供访问 CIM 接口的 root 凭据。而是应该创建这些应用程序专用的服务帐户,并为 ESXi 系统上定义的任何本地帐户以及 vCenter Server 中定义的任何角色授予对 CIM 信息的只读访问权限。

过程

  1. 创建特定于 CIM 应用程序的服务帐户。
  2. 授予在 ESXi 系统中定义的所有本地帐户以及在 vCenter Server 中定义的所有角色对 CIM 信息的只读访问权限。
  3. (可选) : 如果应用程序需要对 CIM 接口的写入访问权限,请创建一个要应用于服务帐户的角色,使其仅拥有以下两项特权:
    • 主机 > 配置 > 系统管理

    • 主机 > CIM > CIM 交互

    根据监控应用程序的工作方式,该角色可以是主机上的本地角色,也可以在 vCenter Server 中集中定义。

结果

当用户使用为 CIM 应用程序创建的服务帐户登录主机时,该用户仅拥有系统管理CIM 交互特权或只读访问权限。