Le système CIM (Modèle de données unifié, Common Information Model) fournit une interface permettant la gestion au niveau du matériel à partir d'applications distantes utilisant un ensemble d'API standard. Pour garantir que l'interface CIM est sécurisée, ne fournissez que le niveau d'accès minimal nécessaire à ces applications distantes. Si vous provisionnez une application distante avec un compte racine ou d'administrateur, et si l'application est compromise, l'environnement virtuel peut l'être également.

Pourquoi et quand exécuter cette tâche

Le modèle CIM est une norme ouverte qui définit une architecture pour la surveillance des ressources matérielles sans agent et basée sur des normes pour les hôtes ESXi. Cette structure se compose d'un gestionnaire d'objet CIM, généralement appelé courtier CIM, et d'un ensemble de fournisseurs CIM.

Les fournisseurs CIM prennent en charge l'accès de gestion aux pilotes des périphériques et au matériel sous-jacent. Les fournisseurs de matériel, y compris les fabricants de serveurs et les fournisseurs de périphériques matériel, peuvent inscrire les fournisseurs qui surveillent et gèrent leurs périphériques. VMware inscrit les fournisseurs qui surveillent le matériel de serveur, l'infrastructure de stockage ESXi et les ressources spécifiques à la virtualisation. Ces fournisseurs sont exécutés au sein de l'hôte ESXi. Ils sont légers et axés sur des tâches de gestion spécifiques. Le courtier CIM recueille les informations de tous les fournisseurs CIM et les présente à l'extérieur à l'aide d'API standard. L'API la plus standard est WS-MAN.

Ne fournissez pas aux applications distantes des informations d'identification racine permettant d'accéder à l'interface CIM. Créez plutôt un compte de service pour ces applications. Accordez un accès en lecture seule aux informations CIM à tous les comptes locaux définis sur le système ESXi, ainsi qu'à tous les rôles définis dans vCenter Server.

Procédure

  1. Créez un compte de service pour les applications CIM.
  2. Accordez un accès en lecture seule de compte de service aux hôtes ESXi qui collectent les informations CIM.
  3. (Facultatif) : Si l'application requiert un accès en écriture, créez un rôle avec deux privilèges seulement.
    • Hôte > Config > SystemManagement (Gestion du système)

    • Hôte > CIM > CIMInteraction (Interaction CIM)

  4. Pour chaque hôte ESXi que vous surveillez, créez une autorisation qui couple le rôle personnalisé avec le compte de service.