从不支持 UEFI 安全引导的版本升级 ESXi 主机后,必须检查是否可以激活安全引导。

要使安全引导成功,每个已安装 VIB 的签名必须在系统上可用。在安装 VIB 时,ESXi 的旧版本不会保存签名。
  • 如果使用 ESXCLI 命令升级,ESXi 的旧版本将安装新 VIB,因此不会保存其签名,并且无法实现安全引导。
  • 如果使用 ISO 升级,新 VIB 则会保存其签名。这同样适用于使用 ISO 的 vSphere Lifecycle Manager 升级。
  • 如果有旧版 VIB 保留在系统上,这些 VIB 的签名不可用,无法进行安全引导。
    • 如果系统使用第三方驱动程序,而 VMware 升级不包括新版本的驱动程序 VIB,则在升级后旧版本的 VIB 仍会保留在系统上。
    • 在极少数情况下,VMware 可能会停止持续开发特定 VIB,且不提供新版本的 VIB 来替换或弃用它,因此在升级后旧版本的 VIB 会保留在系统上。
注: UEFI 安全引导还需要最新的引导加载程序。此脚本不会检查最新的引导加载程序。

前提条件

从不支持 UEFI 安全引导的 ESXi 旧版本升级 ESXi 主机之后,您或许能激活安全引导。能否激活安全引导取决于您执行升级的方式,以及升级是替换所有现有 VIB 还是保持某些 VIB 不变。您可以在执行升级后运行验证脚本以确定升级后的安装是否支持安全引导。
  • 验证硬件是否支持 UEFI 安全引导。
  • 验证是否所有 VIB 均已签名且接受级别至少为“合作伙伴支持”。如果 VIB 为“社区支持”级别,则无法使用安全引导。

过程

  1. 升级 ESXi 并运行以下命令。 
    /usr/lib/vmware/secureboot/bin/secureBoot.py -c
  2. 检查输出结果。
    输出包含 Secure boot can be enabledSecure boot CANNOT be enabled