This host is potentially vulnerable to issues described in CVE-2018-3646という警告が表示される
ESXi 6.7 U1がリリースされたため検証用にインストールしたところ!!
下記のエラーがサマリ画面に表示されました・・・。
警告メッセージ:
This host is potentially vulnerable to issues described in CVE-2018-3646, please refer to https://kb.vmware.com/s/article/55636 for details and VMware recommendations. KB 55636
上記のメッセージからCVE-2018-3646というセキュリティ上の脆弱性があるため、KB55636を確認する必要があることがわかります。
CVE-2018-3646
CVE-2018-3646については、下記の記事がわかりやすいです。
そして対処法ですが、KB55636から更に2回ほどリンクをたどっていくと最終的にVMSAにたどり着きます。
VMSA-2018-0020
6.7 U1はこの問題が発覚した後にリリースされたためか、対するパッチはまだ出ていないみたいですね。
この警告が気になる場合、スクショの右下にある「警告の抑制」をクリックすることでメッセージは消えます。
なお、メッセージが消えただけで問題が解決したわけではありません。
〜蛇足〜
先日VCIXを取得しました。疲れた・・・・。ちなみにDCVです。
グラフィックデバイスの共有設定
以前の記事に、vSphere 6.0からはNVIDIA GRID vGPUがサポートされ、ハードウェアアクセラレーショングラフィックスが使用できるようになり、GPUを複数の仮想マシンで共有できるようになったと記載しました。
共有できるようにするには手順があり、また、複数の注意点があります。
【大まかな流れ】
(1)ドライバーのダウンロード
(2)ドライバーのインストール(ESXi)
(3)ホストグラフィックの共有設定
(4)ドライバーのインストール(ゲストOS) ※本記事では省略
【ドライバーのダウンロード】
ドライバーは以下のサイトからダウンロードします。
NVIDIA Driver Downloads
【ドライバーのインストール(ESXi)】
ダウンロードしたドライバーをESXiにインストールする前に、ESXiをメンテナンスモードにする必要があります。
なお、忘れてインストールを実行しようとしたら以下のような警告が出るのですぐに気がつくはずです。
------
[MaintenanceModeError]
MaintenanceMode is required to remove: []; install: [NVIDIA_bootbank_NVIDIA-VMware_ESXi_6.5_Host_Driver_384.111-1OEM.650.0.0.4598673].
Please refer to the log file for more details.
------
↓以下、インストールコマンド実行例です。
------
[root@esxi02:/tmp/VIB] esxcli software vib install -v /tmp/VIB/NVIDIA-VMware_ESXi_6.5_Host_Driver_384.111-1OEM.650.0.0.4598673.vib
Installation Result
Message: Operation finished successfully.
Reboot Required: false
VIBs Removed:
VIBs Skipped:
[root@esxi02:/tmp/VIB]
------
↑”Message: Operation finished successfully.”が表示されたことを必ず確認してください。
確認できれば、ESXiの再起動とメンテナンスモードの終了で、ドライバーのインストールは完了です。
【ホストグラフィックの共有設定】
上記設定だけで仮想マシンをパワーオンしようとすると起動に失敗します。
エラー内容は以下です。
"親リソース プールで使用可能なグラフィック リソース量が、この操作に対して不足しています。"
"the amount of Graphics resources available in the parent resource pool is Insufficient”
ただ、このエラーは以前の記事で書いたように、本当に使用可能なグラフィックリソースが足りないときにも発生しますが、1台目から発生した場合は単純に共有設定ができていない場合が多いです。
共有設定は以下から行えます。
ホスト>設定>ハードウェア>グラフィック [編集]
ここの設定を"直接共有"に変更してください。
その後、xorgサービスを再起動するのを忘れないでください。私はよく忘れます。10回やってたら2回くらいは忘れてます。
嬉しいことにvSphere6.5から実装されたHTML版だとxorgサービスの再起動もセットです。早く完全にHTMLに切り替えてして欲しいなー。
【おまけ】
トラブルシュートとして"nvidia-smi”コマンドを使うとちゃんと共有できているか確認できます。
以上で、グラフィックデバイスの共有設定は終了です。ライセンス認証サーバが必要なグラボについてはこの後にゲストOSのドライバインストールと合わせてセットアップが必要ですね。
コマンドプロンプトを使用したハッシュ値の確認
ダウンロードしたisoファイルが破損していないか確かめるためにハッシュ値を確認します。以前は無料のソフトを使っていたんですが、コマンドプロンプトで確認できると知ってからは専らCertUtilコマンドです。
----------
実行例(MD5):
> CertUtil -hashfile D:\test\VMware-VMvisor-Installer-6.5.0-4564106.x86_64-Dell_Customized-A00.iso MD5
34 31 a5 ed f7 0c 19 7f 2f c4 d5 fe e0 2c 9d d8
CertUtil: -hashfile コマンドは正常に完了しました。
----------
今までそこそこのインストーラをダウンロードしてきましたが、過去に一度だけインストーラーが破損していたと思われるトラブルがありました。それ以降、特に大きなファイルの場合は必ずハッシュ値のチェックを行なっています。
それだけに、いつぞやのインストーラーが4GBになるトラブルは原因の特定に少し時間がかかりました。
VDIのテンプレートに必ず入れて欲しい設定(Windows)ー続
随分前に投稿したものの続きを書き忘れていました・・・しかも一番肝心なところ。
【設定前】
USBを安全に取り外すところのUIから、HDD等、ユーザーに取り出されないようにするには二つの方法があります。
(1)vmxファイルに以下の内容を追記する
devices.hotplug = "false"
(2)仮想マシンオプションの設定パラメータに以下の内容を追加する
devices.hotplug false
ぶっちゃけ(1)と(2)は同じです。ですが、安全のため直接vmxファイルをいじるよりは(2)の方法をおすすめします。
※対象の仮想マシンはあらかじめシャットダウンしてください。
[追加]ボタンをクリックして、入力したパラメータが追加されたことを確認してください。
パワーオン後、HDDなどが表示されなくなっていることを確認します。
【設定後】
ESXi 6.x、5.x および ESXi/ESX 4.x 仮想マシンで HotAdd/HotPlug 機能を無効にする (2079111)
テンプレート化した仮想マシンをvCenter無しでデータストアから復旧させる方法
ただ、vCenterで作ったテンプレートについてはこの方法は使えません。なぜなら、vmxファイルがないからです!
その代わりにvmtxというファイルが存在します。
実はvCenterのvSphere Web Clientの[仮想マシンへの変換...]というメニューは、このファイルをvmxファイルに変換しているのです。
つまり、このvmtxファイルの拡張子をvmxに変換すれば、仮想マシンとして登録可能です。
無論、ESXi単体だとクローンができないため、テンプレートとして再活用したい場合は、編集前にスナップショットを取得し、vCenter再構築後にスナップショットとクローン駆使することで対応可能です。
ブラウザが証明書を信頼できないエラーが出てファイルのアップロードができないが証明書は登録したくない
テスト用のデータストアにファイルをアップロードしようとしたところ、以下のエラーが発生しました。
不明な理由で操作が失敗しました。通常この問題は、ブラウザが証明書を信頼できない場合に発生します。自己署名証明書またはカスタム証明書を使用している場合は、下記のURLを新しいブラウザタブで開いて証明書を受け入れてから、操作を再試行してください。
問題が解決しない場合は、次のナレッジベースの記事で別の解決策を参照してください。
|
mmc(マイクロソフト管理コンソール)から証明書を登録すればいいとは思うのですが、なんとなく、クライアント端末にあまり情報を登録したくないです。特に今回は作っては壊すを繰り返すテスト環境なので。
警告を再度表示させると冒頭のエラーが再発したため、ブラウザでこの動作を記憶している限り、冒頭のエラーは出なくなるのだと思います。
それがネスト環境のせいなのか、それともネストしたローカルディスクをvSANとして使用したからなのか、はたまた別の理由なのかはまた時間があれば調べてみようと思います。
ESXiのNTP設定方法
そのため、ESXiにはNTPの設定を入れることをおすすめします。
ESXiのWeb Clientを使用したNTPサーバの設定方法については以下の通りです。
ちなみにvCenterに追加したあと、vCenter側のWeb Clientからでも設定可能です。
【手順】
「管理>システム>日付と時刻」の「設定の編集」をクリックします。
ポリシーが三つほどありますが、私はいつも二番目を選択しています。
・ポートを使用して起動および停止します
・ホストと連動して起動および停止します
・手動で起動および停止します
ポリシーの選択とNTPサーバの入力が完了したら「保存」をクリックします。
ホストの起動のタイミングと連動するように設定したため「NTPサービスのステータス」は「停止」のままです。
すぐにNTPの設定を適用したい場合は、「サービス」タブでNTPクライアントを起動する必要があります。以下のように「ntpd」を選択した状態で「起動」をクリックしてください。
「NTPサービスのステータス」が「実行中」になっていることを確認したら作業は完了です。