公用信息模型 (CIM) 系统提供了一个接口,便于使用一组标准 API 从远程应用程序进行硬件级别管理。为了确保 CIM 接口安全,请仅为这些远程应用程序提供必需的最小访问权限。使用 root 或管理员帐户置备远程应用程序时,如果应用程序受到影响,则虚拟环境可能也会受到影响。

关于此任务

CIM 是一种开放式标准,用于为 ESXi 主机硬件资源的无代理标准监控定义一个框架。该框架由一个 CIM 对象管理器(通常称为“CIM 代理程序”)和一组 CIM 提供程序构成。

CIM 提供程序支持对设备驱动程序和底层硬件进行管理访问。硬件供应商(包括服务器制造商和硬件设备供应商)可以编写提供程序,以便监控和管理其设备。VMware 可以编写提供程序,用于监控服务器硬件、ESXi 存储基础架构和虚拟化特定资源。这些提供程序属于轻量级程序,在 ESXi 主机内部运行,并专注于特定管理任务。CIM 代理程序从所有 CIM 提供程序获得信息,并使用标准 API 将这些信息提供给外部。最常用的 API 是 WS-MAN。

请不要为远程应用程序提供访问 CIM 接口的 root 凭据。请为这些应用程序创建服务帐户。向在 ESXi 系统中定义的所有本地帐户以及在vCenter Server 中定义的所有角色授予 CIM 信息的只读访问权限。

过程

  1. 为 CIM 应用程序创建服务帐户。
  2. 向收集 CIM 信息的 ESXi 主机授予服务帐户只读权限。
  3. (可选) : 如果应用程序需要写入访问权限,请创建只有两个特权的角色。
    • 主机 > 配置 > 系统管理

    • 主机 > CIM > CIM 交互

  4. 针对所监控的每个 ESXi 主机,创建一个权限,将自定义角色与服务帐户配对。