UEFI 보안 부팅을 지원하지 않는 이전 버전의 ESXi에서 ESXi 호스트를 업그레이드한 후 보안 부팅을 사용하도록 설정할 수도 있습니다. 보안 부팅을 사용할 수 있는지 여부는 업그레이드를 수행한 방법과 업그레이드를 통해 기존의 모든 VIB를 대체했는지, 아니면 일부 VIB를 그대로 유지했는지에 따라 달라집니다. 업그레이드를 수행한 후 유효성 검사 스크립트를 실행하여 업그레이드된 설치에서 보안 부팅이 지원되는지 여부를 확인할 수 있습니다.

이 태스크 정보

보안 부팅이 성공하려면 설치된 모든 VIB의 서명을 시스템에서 사용할 수 있어야 합니다. 이전 버전의 ESXi에서는 VIB를 설치할 때 서명이 저장되지 않습니다.

  • ESXCLI 명령을 사용하여 업그레이드하는 경우 이전 버전의 ESXi에서 새 VIB 설치가 수행되기 때문에 서명이 저장되지 않고 보안 부팅이 불가능합니다.

  • ISO를 사용하여 업그레이드하면 새 VIB에 서명이 저장됩니다. ISO를 사용하는 vSphere Upgrade Manager 업그레이드에서도 마찬가지입니다.

  • 이전 VIB가 시스템에 남아 있는 경우 해당 VIB의 서명을 사용할 수 없으며 보안 부팅도 불가능합니다.

    • 시스템에서 타사 드라이버를 사용하고 VMware 업그레이드에 드라이버 VIB의 새 버전이 포함되지 않은 경우 이전 VIB가 업그레이드 후 시스템에 남아 있습니다.

    • 드물지만 경우에 따라 VMware에서 특정 VIB의 진행 중인 개발을 중단하고 이를 대체하거나 폐기시키는 새 VIB를 제공하지 않을 경우 이전 VIB가 업그레이드 후 시스템에 남아 있습니다.

참고:

UEFI 보안 부팅에는 최신 부팅 로더도 필요합니다. 이 스크립트는 최신 부팅 로더를 확인하지 않습니다.

필수 조건

  • 하드웨어가 UEFI 보안 부팅을 지원하는지 확인합니다.

  • 모든 VIB가 최소 PartnerSupported의 허용 수준으로 서명되었는지 확인합니다. CommunitySupported 수준에서 VIB를 포함하는 경우 보안 부팅을 사용할 수 없습니다.

프로시저

  1. ESXi를 업그레이드하고 다음 명령을 실행합니다.
    /usr/lib/vmware/secureboot/bin/secureBoot.py -c
  2. 출력을 확인합니다.

    출력에는 Secure boot can be enabled 또는 Secure boot CANNOT be enabled가 포함됩니다.