UEFI 보안 부팅을 지원하지 않는 이전 버전의 ESXi에서 ESXi 호스트를 업그레이드한 후 보안 부팅을 사용하도록 설정할 수 있습니다. 보안 부팅을 사용할 수 있는지 여부는 업그레이드를 수행한 방법과 업그레이드를 통해 기존의 모든 VIB를 대체했는지, 아니면 일부 VIB를 그대로 유지했는지에 따라 달라집니다. 업그레이드를 수행한 후 유효성 검사 스크립트를 실행하여 업그레이드된 설치에서 보안 부팅이 지원되는지 여부를 확인할 수 있습니다.

이 태스크 정보

보안 부팅이 성공하려면 설치된 모든 VIB의 서명을 시스템에서 사용할 수 있어야 합니다. 이전 버전의 ESXi에서는 VIB를 설치할 때 서명이 저장되지 않습니다.

UEFI 보안 부팅을 수행하려면 원래 VIB 서명이 유지되어야 합니다. 이전 버전의 ESXi는 서명을 유지하지 않지만 업그레이드 프로세스가 VIB 서명을 업데이트합니다.

  • ESXCLI 명령 사용을 업그레이드하는 경우 업그레이드된 VIB에 유지된 서명이 없습니다. 이 경우 해당 시스템에서 보안 부팅을 수행할 수 없습니다.

  • ISO를 사용하여 업그레이드하는 경우 업그레이드 프로세스에서 새로운 VIB의 서명이 모두 저장됩니다. 이는 또한 ISO를 사용하는 vSphere Update Manager의 업그레이드에도 적용됩니다.

이전 VIB가 시스템에 남아 있는 경우 해당 VIB의 서명을 여전히 사용할 수 없으며 보안 부팅도 불가능합니다.

예를 들어, 시스템에서 타사 드라이버를 사용하고 VMware 업그레이드에 드라이버 VIB의 새 버전이 포함되지 않은 경우 이전 VIB가 업그레이드 후 시스템에 남아 있습니다. 드물지만 경우에 따라 VMware에서 특정 VIB의 진행 중인 개발을 중단하고 이를 대체하거나 폐기시키는 새 VIB를 제공하지 않을 경우 이전 VIB가 업그레이드 후 시스템에 유지됩니다.

참고:

UEFI 보안 부팅에는 최신 부팅 로더도 필요합니다. 이 스크립트는 최신 부팅 로더를 확인하지 않습니다.

필수 조건

  • 하드웨어가 UEFI 보안 부팅을 지원하는지 확인합니다.

  • 모든 VIB가 최소 PartnerSupported의 허용 수준으로 서명되었는지 확인합니다. CommunitySupported 수준에서 VIB를 포함하는 경우 보안 부팅을 사용할 수 없습니다.

프로시저

  1. ESXi를 업그레이드하고 다음 명령을 실행합니다.
    /usr/lib/vmware/secureboot/bin/secureBoot.py -c
  2. 출력을 확인합니다.

    출력에는 Secure boot can be enabled 또는 Secure boot CANNOT be enabled가 포함됩니다.