CIM(공통 정보 모형, Common Information Model) 시스템에서는 표준 API 집합을 사용하여 원격 애플리케이션에서 하드웨어 수준 관리를 사용할 수 있게 해 주는 인터페이스를 제공합니다. CIM 인터페이스의 보안을 유지하려면 이러한 애플리케이션에 필요한 최소한의 액세스 권한만 제공합니다. 애플리케이션이 루트 또는 전체 관리자 계정으로 프로비저닝된 경우 애플리케이션이 손상되면 전체 가상 환경이 손상될 수 있습니다.

이 태스크 정보

CIM은 ESXi의 하드웨어 리소스를 에이전트 없이 표준에 따라 모니터링하기 위한 프레임워크를 정의하는 개방형 표준입니다. 이 프레임워크는 CIM 개체 관리자(CIM 브로커라고도 함)와 일련의 CIM 제공자로 구성됩니다.

CIM 제공자는 디바이스 드라이버와 기본 하드웨어에 대한 관리 액세스 권한을 제공하기 위한 메커니즘으로 사용됩니다. 서버 제조업체와 특정 하드웨어 디바이스 벤더를 비롯한 하드웨어 벤더는 특정 디바이스의 모니터링 및 관리 기능을 제공하기 위한 제공자를 작성할 수 있습니다. VMware에서도 서버 하드웨어, ESXi 스토리지 인프라 및 가상화 관련 리소스의 모니터링을 구현하는 제공자를 작성합니다. 이러한 제공자는 ESXi 시스템 내부에서 실행되므로 매우 경량으로 설계되어 특정 관리 작업에 초점을 맞춥니다. CIM 브로커는 모든 CIM 제공자로부터 정보를 받고, 표준 API(WS-MAN이 가장 일반적)를 통해 이를 외부에 표시합니다.

원격 애플리케이션에는 CIM 인터페이스에 액세스하기 위한 루트 자격 증명을 제공하지 마십시오. 대신 해당 애플리케이션에 특정한 서비스 계정을 생성하고, ESXi 시스템에 정의된 모든 로컬 계정과 vCenter Server에 정의된 모든 역할에 CIM 정보에 대한 읽기 전용 액세스 권한을 부여하십시오.

프로시저

  1. CIM 애플리케이션에 특정한 서비스 계정 생성
  2. ESXi 시스템에 정의된 모든 로컬 계정과 vCenter Server에 정의된 모든 역할에 CIM 정보에 대한 읽기 전용 액세스 권한을 부여합니다.
  3. (선택 사항) : 애플리케이션에 CIM 인터페이스에 대한 쓰기 액세스 권한이 필요한 경우 다음 두 개의 권한만 포함하여 서비스 계정에 적용할 역할을 생성합니다.
    • Host > Config > SystemManagement

    • Host > CIM > CIMInteraction

    이 역할은 모니터링 애플리케이션의 작동 방식에 따라 호스트에 대해 로컬로 존재하거나 vCenter Server 중앙에서 정의될 수 있습니다.

결과

CIM 애플리케이션을 위해 생성한 서비스 계정으로 호스트에 로그인하는 사용자는 SystemManagementCIMInteraction 권한이나 읽기 전용 액세스 권한만 갖게 됩니다.