一般資訊模型 (CIM) 系統提供了一個介面,使得使用一組標準 API 能夠從遠端應用程式進行硬體層級管理。若要確保 CIM 介面安全,請僅為這些遠端應用程式提供必需的最小存取權限。如果以根或管理員帳戶佈建遠端應用程式,當該應用程式受破壞時,虛擬環境就可能會受破壞。

CIM 是一種開放式標準,其所定義的架構用於 ESXi 主機硬體資源的無代理程式、以標準為基礎的監控作業。該架構由一個 CIM 物件管理器 (通常稱為 [CIM Broker]) 和一組 CIM 提供者組成。

CIM 提供者支援對裝置驅動程式和基礎硬體進行管理存取。硬體廠商 (包括伺服器製造商和硬體裝置廠商) 可以撰寫監控和管理其裝置的提供者。VMware 會撰寫監控伺服器硬體、ESXi 儲存區基礎結構及虛擬化專屬資源的提供者。這些提供者在 ESXi 主機內執行,為輕量型且側重於特定管理工作。CIM Broker 會從所有 CIM 提供者獲得資訊,並使用標準 API 呈現給外界。最常見的 API 是 WS-MAN。

請勿為存取 CIM 介面的遠端應用程式提供根認證。相反,為這些應用程式建立權限較低的 vSphere 使用者帳戶,並使用 VIM API 票證功能將 sessionId (稱為「票證」) 核發至此權限較低的使用者帳戶以向 CIM 進行驗證。如果帳戶已被授與取得 CIM 票證的權限,VIM API 會向 CIM 提供票證。然後,這些票證會做為使用者識別碼和密碼提供給任何 CIM-XML API 呼叫。如需詳細資訊,請參閱 AcquireCimServicesTicket() 方法。

安裝第三方 CIM VIB 時會啟動 CIM 服務,例如,當您執行 esxcli software vib install -n VIBname 命令時。

如果您必須手動啟用 CIM 服務,請執行下列命令:

esxcli system wbem set -e true

如有必要,您可以停用 wsman (WSManagement 服務),以便只有 CIM 服務正在執行:

esxcli system wbem set -W false

若要確認 wsman 已停用,請執行下列命令:

esxcli system wbem get
…
WSManagement PID: 0
WSManagement Service: false

如需有關 ESXCLI 命令的詳細資訊,請參閱《vSphere 命令列介面說明文件》。如需有關啟用 CIM 服務的詳細資訊,請參閱 VMware 知識庫文章,網址為:https://kb.vmware.com/kb/1025757

程序

  1. 為 CIM 應用程式建立 vSphere 非 root 使用者帳戶。
    請參閱 《Platform Services Controller 管理指南》中有關新增 vCenter Single Sign-On 使用者的主題。使用者帳戶所需的 vSphere 權限為 Host.CIM.Interaction
  2. 使用您所選擇的 vSphere API SDK 向 vCenter Server 驗證使用者帳戶。然後,使用 CIM-XML 連接埠 5989 或 WS-Man 連接埠 433 API,以管理員層級帳戶的身分呼叫 AcquireCimServicesTicket() 傳回票證以向 ESXi 進行驗證。
    如需詳細資訊,請參閱 《VMware vSphere API 參考》說明文件。
  3. 視需要每兩分鐘更新一次票證。