一般資訊模型 (CIM) 系統提供了一個介面,使得使用一組標準 API 能夠從遠端應用程式進行硬體層級管理。若要確保 CIM 介面安全,請僅為這些遠端應用程式提供必需的最小存取權限。如果以根或管理員帳戶佈建遠端應用程式,當該應用程式受破壞時,虛擬環境就可能會受破壞。

執行這項作業的原因和時機

CIM 是一種開放式標準,其所定義的架構用於 ESXi 主機硬體資源的無代理程式、以標準為基礎的監控作業。該架構由一個 CIM 物件管理器 (通常稱為 [CIM Broker]) 和一組 CIM 提供者組成。

CIM 提供者支援對裝置驅動程式和基礎硬體進行管理存取。硬體廠商 (包括伺服器製造商和硬體裝置廠商) 可以撰寫監控和管理其裝置的提供者。VMware 會撰寫監控伺服器硬體、ESXi 儲存區基礎結構及虛擬化專屬資源的提供者。這些提供者在 ESXi 主機內執行,為輕量型且側重於特定管理工作。CIM Broker 會從所有 CIM 提供者獲得資訊,並使用標準 API 呈現給外界。最常見的 API 是 WS-MAN。

請勿為存取 CIM 介面的遠端應用程式提供根認證。而是應為這些應用程式建立服務帳戶。為在 ESXi 系統中定義的所有本機帳戶和在 vCenter Server 中定義的所有角色授與對 CIM 資訊的唯讀存取權限。

程序

  1. 建立 CIM 應用程式的服務帳戶。
  2. 為該服務帳戶授與對收集 CIM 資訊之 ESXi 主機的唯讀存取權限。
  3. (選擇性) ︰ 如果應用程式需要寫入權限,請建立僅擁有兩項權限的角色。
    • 主機 > 組態 > 系統管理

    • 主機 > CIM > CIM 互動

  4. 對於您要監控的每台 ESXi 主機,建立可將自訂角色與服務帳戶進行配對的權限。