從不支援 UEFI 安全開機的版本升級 ESXi 主機後,必須檢查是否可以啟用安全開機。

若要成功執行安全開機,每個已安裝的 VIB 的簽章必須在系統上可用。在安裝 VIB 時,較舊版本的 ESXi 不會儲存簽章。
  • 如果您使用 ESXCLI 命令升級,則舊版 ESXi 會執行新的 VIB 安裝,因此不會儲存其簽章且不能安全開機。
  • 如果您使用 ISO 升級,則新的 VIB 會儲存其簽章。此情況同樣適用於使用 ISO 的 vSphere Lifecycle Manager 升級。
  • 如果舊 VIB 保留在系統上,則這些 VIB 的簽章不可用且不能安全開機。
    • 如果系統使用第三方驅動程式,且 VMware 升級不包含新版驅動程式 VIB,則升級後舊 VIB 會保留在系統上。
    • 在少數情況下,VMware 可能會終止進行中的特定 VIB 的開發,而不提供將其取代或淘汰的新 VIB,因此升級後舊 VIB 會保留在系統上。
備註: UEFI 安全開機還需要使用最新的開機載入器。此指令碼不會檢查是否有最新的開機載入器。

必要條件

從不支援 UEFI 安全開機的舊版 ESXi 升級 ESXi 主機後,或許可以啟用安全開機。是否可以啟用安全開機取決於您如何執行升級,以及升級是否取代所有現有 VIB,或保留部分 VIB 不變。您可以在執行升級後執行驗證指令碼,以確定升級的安裝是否支援安全開機。
  • 請確認硬體支援 UEFI 安全開機。
  • 請確認所有 VIB 均在接受程度至少為 PartnerSupported 的情況下簽署。如果包含處於 CommunitySupported 程度的 VIB,則無法使用安全開機。

程序

  1. 升級 ESXi 並執行以下命令。
    /usr/lib/vmware/secureboot/bin/secureBoot.py -c
  2. 檢查輸出。
    輸出包含 Secure boot can be enabledSecure boot CANNOT be enabled