标签归档:esxi

VMware vCenter Server中的CVE-2021-21972 and CVE-2021-21973漏洞处理方法

影响和修复的 vCenter Server 版本:

版本受影响的版本固定版本发布日期VAMI/发行说明
内部版本		Client/MOB/vpxd.log
内部版本编号
 7.0  7.0 U1c 之前的所有版本 7.0 U1c(或更高版本)2020-12-1717327517(或更高版本)17327586(或更高版本)
 6.7 VCSA6.7 U3l 之前的所有版本6.7 U3l(或更高版本)2020-11-1917138064(或更高版本)17137327(或更高版本)
6.7 Windows6.7 U3l 之前的所有版本6.7 U3l(或更高版本)2020-11-1917138064(或更高版本)17137232(或更高版本)
版本影响的版本固定版本发布日期内部版本号
6.5(VCSA 和 Windows)6.5 U3n 之前的所有版本6.5 U3n(或更高版本)2021-02-2317590285(或更高版本)

以下链接详细说明了如何升级 VCSA 计算机。vSphere 6.7 https://communities.vmware.com/t5/vSphere-Upgrade-Install/Addressing-VMSA-2021-0002-for-vCenter-6-7/ta-p/2833192vSphere 7.0https://communities.vmware.com/t5/vSphere-Upgrade-Install/Addressing-VMSA-2021-0002-for-vCenter-7-0/ta-p/2833079

功能影响
影响仅限于使用 vRealize Operations 的环境。需要注意的是,无论 vRealize Operations 是否引入到环境中,vCenter Server 中都存在易受攻击的端点。

  • 新 vRealize Operations 客户将没有通过插件自动安装和配置 vRealize Operations Appliance 的置备/选项。
  • 在 vRealize Operations with vCenter 中配置 vCenter 适配器的客户将无法在 vSphere Client (HTML 5) 中显示衡量指标和警示详细信息(包括 vCenter Server 和 vSAN 概览小组件)。

要实施基于 Linux 的虚拟设备 (vCSA) 上 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

插件必须设置为”不兼容”。从 UI 中禁用插件不会保护系统免受此漏洞的影响。
在运行 vCenter High Availability (VCHA) 的环境中,需要同时在主动节点和被动节点上执行此解决办法

  1. 使用 SSH 会话和 root 凭据连接到 vCSA。
  2. 备份 /etc/vmware/vsphere-ui/compatibility-matrix.xml 文件:

cp -v /etc/vmware/vsphere-ui/compatibility-matrix.xml /etc/vmware/vsphere-ui/compatibility-matrix.xml.backup

  1. 在文本compatibility-matrix.xml 文件:

vi /etc/vmware/vsphere-ui/compatibility-matrix.xml

  1. 此文件的内容如下所示: 
/etc/vmware/vsphere-ui/compatibility-matrix.xml before 解决办法
  1. 添加以下条目:

<Matrix>

<pluginsCompatibility>

. . . . 

. . . . 

<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

</pluginsCompatibility>

</Matrix>

  1. 该文件应如下所示:
/etc/vmware/vsphere-ui/compatibility-matrix.xml (解决办法后)
  1. 通过键入:compatibility-matrix.xmlcompatibility-matrix.xml :wq!
  2. 重新启动 vsphere-ui 服务。使用命令: service-control –restart vsphere-ui.
  3. 导航到 https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister。此页面显示”404/未找到(如下所示)”错误。 
导航到 https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister。此页面显示"404/未找到 (404/Not Found)"错误
  1. 在 vSphere Client (HTML5) 中,在管理 > Solutions > client-plugins 下,VMware vROPS Client 插件可能会显示为”不兼容”,如下所示
在 h5-client 中,在 管理 > Solutions > client-plugins 下,VMware vROPS Client 插件可能会显示为"不兼容",如下所示
  1. 这可确认端点/ui/vropspluginui设置为”不兼容”。

要针对基于 Windows 的 vCenter Server 部署实施 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

插件必须设置为”不兼容”。从 UI 中禁用插件不会保护系统免受此漏洞的影响)
 

  1. 从 RDP 到基于 Windows 的 vCenter Server。
  2. 备份文件 – 

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

  1. 此文件的内容如下所示:
compatibility-matrix.xml before 解决办法
  1. 添加以下条目: 

<Matrix>

<pluginsCompatibility>

. . . . 

. . . . 

<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

</pluginsCompatibility>

</Matrix>

  1. 文件应如下所示:
compatibility-matrix.xml after 解决办法
  1. 使用命令重新启动 vsphere-ui 服务:C:\Program Files\VMware\vCenter Server\bin> service-control –restart vsphere-ui
  2. 从 Web 浏览器中,导航到:
    https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister.
    页面显示”404/未找到(如下所示)”错误:
  1. 在 vSphere Client (HTML 5) 中,在 管理 > Solutions > client-plugins 下,VMware vROPS Client 插件可能会显示为”不兼容”,如下所示:
在 h5-client 中,VMware vROPS Client 插件在 管理 > Solutions > client-plugins 下可视为"不兼容"
  1. 这可确认端点/ui/vropspluginui 设置为”不兼容”。

要恢复在基于 Linux 的虚拟设备 (vCSA) 上 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

  1. 使用 SSH 会话和 root 凭据连接到 vCSA。
  2. 在文本compatibility-matrix.xml 文件:

vi /etc/vmware/vsphere-ui/compatibility-matrix.xml

  1. 移除该文件中的以下行。 

<Matrix>

<pluginsCompatibility>

. . . . 

. . . . 

<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

</pluginsCompatibility>

</Matrix>

  1. 重新启动 vsphere-ui service。使用命令 – service-control –restart vsphere-u
  2. 验证 vSphere-ui 服务已启动。
  3. VMware vROPS 客户端插件状态为已部署/已启用

要恢复基于 Windows 的 vCenter Server 部署中 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

  1. 连接到 Windows vCenter Server。
  2. 使用文本编辑器编辑文件:

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

  1. 移除该文件中的以下行。 

<Matrix>

<pluginsCompatibility>

. . . . 

. . . . 

<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

</pluginsCompatibility>

</Matrix>

  1. 使用命令重新启动 vsphere-ui 服务:C:\Program Files\VMware\vCenter Server\bin> service-control –restart vsphere-ui
  2. 验证 vSphere-ui service 已启动。
  3. VMware vROPS 客户端插件状态为已部署/已启用

ESXi 6.x 中的 OpenSLP 安全漏洞 (CVE-2019-5544) 处理方法

执行以下步骤:
 

  1. 使用以下命令停止 ESXi 主机上的 SLP 服务:

/etc/init.d/slpd stop

注意:仅当 SLP 服务未在使用中的时候才能将其停止。使用以下命令可查看服务位置协议守护进程的运行状况:

esxcli system slp stats get
 

  1. 运行以下命令以禁用 SLP 服务:

esxcli network firewall ruleset set -r CIMSLP -e 0

要使此更改在重新引导后仍然有效,请执行以下操作:

chkconfig slpd off

检查重新引导后此更改是否仍然有效:

chkconfig –list | grep slpd

output: slpd off
 

要移除适用于 CVE-2019-5544 的权宜措施,请执行以下步骤:

  1. 运行以下命令以启用 SLP 服务的规则集:

esxcli network firewall ruleset set -r CIMSLP -e 1

  1. 运行以下命令以更改 slpd 服务的当前启动信息:

chkconfig slpd on

运行以下命令以检查运行上述步骤(步骤 2)后更改是否有效:

chkconfig –list | grep slpd

output: slpd on

  1. 运行以下命令以启动 SLP 服务:

/etc/init.d/slpd start

VMWARE ESX 3 4 5 6 7版本所需的端口说明

ESXi 7.0

端口协议对象目的
9UDPvCenter ServerESXi 主机由 Wake on LAN 使用。
22TCPSSH 客户端ESXi 主机SSH 访问需要使用此端口
53UDPESXi 主机DNS 服务器DNS 客户端
68UDPDHCP 服务器ESXi 主机适用于 IPv4 的 DHCP 客户端
80TCPWeb 浏览器ESXi 主机“欢迎使用”页面,包含不同界面的下载链接
161UDPSNMP 服务器ESXi 主机允许主机连接到 SNMP 服务器
427TCP/UDPCIM 服务器ESXi 主机CIM 客户端使用服务位置协议版本 2 (SLPv2) 查找 CIM 服务器
546TCP/UDPDHCP 服务器ESXi 主机适用于 IPv6 的 DHCP 客户端
547TCP/UDPESXi 主机DHCP 服务器适用于 IPv6 的 DHCP 客户端
902TCP/UDPVMware vCenter AgentESXi 主机vCenter Server Agent
2233TCPESXi 主机vSAN 传输vSAN 可靠数据报传输。使用 TCP 并用于 vSAN 存储 IO。如果禁用,则 vSAN 无法工作。
3260TCPESXi 主机软件 iSCSI 客户端 支持软件 iSCSI
5671TCPESXi 主机rabbitmqproxy在 ESXi 主机上运行的代理,允许虚拟机内部运行的应用程序与 vCenter 网络域中运行的 AMQP 代理进行通信。虚拟机不必位于网络中,即无需网卡。代理将连接到 vCenter 网络域中的代理。因此,出站连接 IP 地址应至少包括当前正在使用的代理或未来的代理。如果客户要扩展,则可以添加代理。
5988、8889TCPCIM 服务器
8889- OpenWSMAN 守护进程		ESXi 主机5988 – 适用于 CIM(通用信息模型)的服务器
8889 – Web 服务管理(WS 管理是用于管理服务器、设备、应用程序和 Web 服务的 DMTF 开放式标准)
5989TCPCIM 安全服务器ESXi 主机适用于 CIM 的安全服务器
6999UDPNSX 分布式逻辑路由器服务ESXi 主机NSX 虚拟分布式路由器服务 如果已安装 NSX VIB 且已创建 VDR 模块,则与此服务关联的防火墙端口将打开。如果没有 VDR 实例与主机关联,则该端口无需打开。

此服务在此产品的早期版本中称为“NSX 分布式逻辑路由器”。
8000TCPESXi 主机ESXi 主机vMotion – 通过 vMotion 迁移虚拟机时为必需项。ESXi 主机在端口 8000 上侦听远程 ESXi 主机中用于 vMotion 流量的 TCP 连接
8080TCPvsanvpESXi 主机VSAN VASA 供应商提供程序。由 vCenter 中的存储管理服务 (SMS) 使用,以访问有关 Virtual SAN 存储配置文件、功能和合规性的信息。如果禁用,则 Virtual SAN 基于存储配置文件的管理 (SPBM) 无法工作。
8100、8200、8300TCP/UDPFault ToleranceESXi 主机主机之间的流量,用于 vSphere Fault Tolerance (FT)。
8301、8302UDPDVSSyncESXi 主机DVSSync 端口可用于同步已启用 VMware FT 记录/重放的主机之间的分布式虚拟端口的状况。只有运行主虚拟机或备份虚拟机的主机才须打开这些端口。未使用 VMware FT 的主机无需打开这些端口。
12345、23451UDPESXi 主机vSAN 群集服务由 vSAN 使用的群集监控、成员资格和 Directory Service。
44046、31031TCPESXi 主机HBR用于 vSphere Replication 和 VMware Site Recovery Manager 的持续复制流量。
80,9000TCPESXi 主机vCenter ServervSphere Lifecycle Manager

ESXi 6.x

端口协议对象目的
9UDPvCenter ServerESXi 主机由 Wake on LAN 使用。
22TCPSSH 客户端ESXi 主机SSH 访问需要使用此端口
53UDPESXi 主机DNS 服务器DNS 客户端
68UDPDHCP 服务器ESXi 主机适用于 IPv4 的 DHCP 客户端
80TCPWeb 浏览器ESXi 主机“欢迎使用”页面,包含不同界面的下载链接
161UDPSNMP 服务器ESXi 主机允许主机连接到 SNMP 服务器
427TCP/UDPCIM 服务器ESXi 主机CIM 客户端使用服务位置协议版本 2 (SLPv2) 查找 CIM 服务器
443TCPvSphere Web ClientESXi 主机客户端连接
546TCP/UDPDHCP 服务器ESXi 主机适用于 IPv6 的 DHCP 客户端
547TCP/UDPESXi 主机DHCP 服务器适用于 IPv6 的 DHCP 客户端
902TCP/UDPVMware vCenter AgentESXi 主机vCenter Server Agent
2233TCPESXi 主机vSAN 传输vSAN 可靠数据报传输。使用 TCP 并用于 vSAN 存储 IO。如果禁用,则 vSAN 无法工作。
3260TCPESXi 主机软件 iSCSI 客户端 支持软件 iSCSI
5671TCPESXi 主机rabbitmqproxy在 ESXi 主机上运行的代理,允许虚拟机内部运行的应用程序与 vCenter 网络域中运行的 AMQP 代理进行通信。虚拟机不必位于网络中,即无需网卡。代理将连接到 vCenter 网络域中的代理。因此,出站连接 IP 地址应至少包括当前正在使用的代理或未来的代理。如果客户要扩展,则可以添加代理。
5988、8889TCPCIM 服务器
8889- OpenWSMAN 守护进程		ESXi 主机5988 – 适用于 CIM(通用信息模型)的服务器
8889 – Web 服务管理(WS 管理是用于管理服务器、设备、应用程序和 Web 服务的 DMTF 开放式标准)
5989TCPCIM 安全服务器ESXi 主机适用于 CIM 的安全服务器
6999UDPNSX 分布式逻辑路由器服务ESXi 主机NSX 虚拟分布式路由器服务 如果已安装 NSX VIB 且已创建 VDR 模块,则与此服务关联的防火墙端口将打开。如果没有 VDR 实例与主机关联,则该端口无需打开。

此服务在此产品的早期版本中称为“NSX 分布式逻辑路由器”。
8000TCPESXi 主机ESXi 主机vMotion – 通过 vMotion 迁移虚拟机时为必需项。ESXi 主机在端口 8000 上侦听远程 ESXi 主机中用于 vMotion 流量的 TCP 连接
8080TCPvsanvpESXi 主机VSAN VASA 供应商提供程序。由 vCenter 中的存储管理服务 (SMS) 使用,以访问有关 Virtual SAN 存储配置文件、功能和合规性的信息。如果禁用,则 Virtual SAN 基于存储配置文件的管理 (SPBM) 无法工作。
8100、8200、8300TCP/UDPFault ToleranceESXi 主机主机之间的流量,用于 vSphere Fault Tolerance (FT)。
8301、8302UDPDVSSyncESXi 主机DVSSync 端口可用于同步已启用 VMware FT 记录/重放的主机之间的分布式虚拟端口的状况。只有运行主虚拟机或备份虚拟机的主机才须打开这些端口。未使用 VMware FT 的主机无需打开这些端口。
12345、23451UDPESXi 主机vSAN 群集服务由 vSAN 使用的群集监控、成员资格和 Directory Service。
44046、31031TCPESXi 主机HBR用于 vSphere Replication 和 VMware Site Recovery Manager 的持续复制流量。
80,9000TCPESXi 主机vCenter ServervSphere Update Manager

ESXi 5.x

端口协议对象目的
22TCP客户端 PCESXi 主机SSH 服务器
53UDPESXi 5.xDNS 服务器DNS 客户端
68UDPESXi 5.xDHCP 服务器DHCP 客户端
80TCP客户端 PCESXi 主机将 Web 浏览器重定向到 HTTPS 服务 (443)
88TCPESXi 主机Active Directory 服务器PAM Active Directory 身份验证 – Kerberos
111TCPESXi/ESX 主机NFS 服务器NFS 客户端 – RPC Portmapper
111UDPESXi/ESX 主机NFS 服务器NFS 客户端 – RPC Portmapper
123UDPESXi/ESX 主机NTP 时间服务器NTP 客户端
161UDPSNMP 服务器ESXi 主机SNMP 轮询。在 ESXi 3.x 中不使用
162UDPESXi 主机SNMP 收集器SNMP 陷阱发送
389TCP/UDPESXi 主机LDAP 服务器PAM Active Directory 身份验证 – Kerberos
427UDPVI / vSphere ClientESXi/ESX 主机CIM 服务位置协议 (SLP)
443TCPVI / vSphere ClientESXi/ESX 主机VI / vSphere Client 到 ESXi/ESX 主机的管理连接
445UDPESXi 主机MS 目录服务服务器PAM Active Directory 身份验证
445TCPESXi 主机MS 目录服务服务器PAM Active Directory 身份验证
445TCPESXi 主机SMB 服务器SMB 服务器
464TCPESXi 主机Active Directory 服务器PAM Active Directory 身份验证 – Kerberos
514UDP/TCPESXi 5.xSyslog 服务器远程 syslog 日志记录
902TCP/UDPESXi 5.xESXi 主机主机间访问以进行迁移和置备
902TCPvSphere ClientESXi 主机vSphere Client 访问虚拟机控制台 (MKS)
902UDPESXi 5.xvCenter Server(UDP) 状态更新。受管主机向 vCenter Server 系统发送定期检测信号。服务器与主机之间或各个主机之间的防火墙不得阻止该端口。
1024(动态)TCP/UDPESXi 主机Active Directory 服务器ESXi 主机与 Active Directory 域控制器之间需要在 TCP/UDP 端口上进行双向通信(通过 ESXi 主机上的 netlogond 进程)。
2049TCPESXi 5.xNFS 服务器来自 NFS 存储设备的事务
2049UDPESXi 5.xNFS 服务器来自 NFS 存储设备的事务
3260TCPESXi 5.xiSCSI 存储服务器目标为 iSCSI 存储设备的事务
5900 到 5964TCPESXi 5.xESXi 主机由管理工具使用的 RFB 协议,如 VNC
5988TCPCIM 服务器ESXi 主机通过 HTTP 传送的 CIM 事务
5989TCPvCenter ServerESXi 主机通过 HTTPS 传送的 CIM XML 事务
5989TCPESXi 5.xvCenter Server通过 HTTPS 传送的 CIM XML 事务
8000TCPESXi 5.x(虚拟机目标)ESXi(虚拟机源)来自 vMotion 的请求
8000TCPESXi 5.x(虚拟机源)ESXi(虚拟机目标)来自 vMotion 的请求
8100TCP/UDPESXi 5.xESXi 主机vSphere Fault Tolerance (FT) 的主机间的通信
8182TCP/UDPESXi 5.xESXi 主机vSphere High Availability (vSphere HA) 的主机间的通信
8200TCP/UDPESXi 5.xESXi 主机vSphere Fault Tolerance (FT) 的主机间的通信
8301UDPESXi 5.xESXi 主机DVS 端口信息
8302UDPESXi 5.xESXi 主机DVS 端口信息
31000TCPSPS 服务器vCenter Server内部通信端口

 ESXi 4.x

端口协议对象目的
53UDPESXi/ESX 主机DNS 服务器DNS
80TCP客户端 PCESXi/ESX 主机将 Web 浏览器重定向到 HTTPS 服务 (443)
88TCPESXi 主机Active Directory 服务器PAM Active Directory 身份验证 – Kerberos
111TCPESXi/ESX 主机NFS 服务器NFS 客户端 – RPC Portmapper
111UDPESXi/ESX 主机NFS 服务器NFS 客户端 – RPC Portmapper
123UDPESXi/ESX 主机NTP 时间服务器NTP 客户端
161UDPSNMP 服务器ESXi 4.x 主机SNMP 轮询。在 ESXi 3.x 中不使用
162UDPESXi 主机SNMP 收集器SNMP 陷阱发送
389TCP/UDPESXi 主机LDAP 服务器PAM Active Directory 身份验证 – Kerberos
427UDPVI / vSphere ClientESXi/ESX 主机CIM 服务位置协议 (SLP)
427TCPVI / vSphere ClientESXi/ESX 主机CIM 服务位置协议 (SLP)
443TCPVI / vSphere ClientESXi/ESX 主机VI / vSphere Client 到 ESXi/ESX 主机的管理连接
443TCPESXi/ESX 主机ESXi/ESX 主机主机间虚拟机迁移和置备
445UDPESXi 主机MS 目录服务服务器PAM Active Directory 身份验证
445TCPESXi 主机MS 目录服务服务器PAM Active Directory 身份验证
445TCPESXi 主机SMB 服务器SMB 服务器
464TCPESXi 主机Active Directory 服务器PAM Active Directory 身份验证 – Kerberos
514UDPESXi/ESX 主机Syslog 服务器远程 syslog 日志记录
902TCPVI / vSphere ClientESXi/ESX 主机VI / vSphere Client 到 ESXi/ESX 托管虚拟机的连接(MKS/远程控制台)
902TCP/UDPESXi/ESX 主机ESXi/ESX 主机身份验证、置备、虚拟机迁移
902TCP/UDPESXi/ESX 主机vCenter 4 Server检测信号
902TCPVI / vSphere ClientESXi/ESX 主机虚拟机远程虚拟机控制台 (MKS)
1024(动态)TCP/UDPESXi 主机Active Directory 服务器ESXi 主机与 Active Directory 域控制器之间需要在 TCP/UDP 端口上进行双向通信(通过 ESXi 主机上的 netlogond 进程)。
2049TCPESXi/ESX 主机NFS 服务器NFS 客户端
2049UDPESXi/ESX 主机NFS 服务器NFS 客户端
2050 到 2250UDPESXi/ESX 主机ESXi/ESX 主机VMware HA
3260TCPESXi/ESX 主机iSCSI SAN软件 iSCSI 客户端和硬件 iSCSI HBA
5900 到 5964TCPESXi/ESX 主机ESXi/ESX 主机管理工具使用的 RFB 协议,如 VNC
5988TCPESXi/ESX 主机ESXi/ESX 主机CIM 客户端到 CIM 安全服务器
5989TCPVirtualCenter/vCenterESXi/ESX 主机CIM 客户端到 CIM 安全服务器
5989TCPESXi/ESX 主机VirtualCenter/vCenterCIM 安全服务器到 CIM 客户端
8000TCPESXi/ESX 主机(虚拟机目标)ESXi/ESX 主机(虚拟机源)在 VMkernel 接口上进行 VMotion 通信
8000TCPESXi/ESX 主机(虚拟机源)ESXi/ESX 主机(虚拟机目标)在 VMkernel 接口上进行 VMotion 通信
47UDPESXi/ESX 主机物理交换机vDS(虚拟分布式交换机)广播
8042 到 8045TCPESXi/ESX 主机ESXi/ESX 主机VMware HA
8100TCP/UDPESXi/ESX 4 主机ESXi/ESX 4.x 主机VMware Fault Tolerance。仅限 ESXi/ESX 4。
8200TCP/UDPESXi/ESX 4 主机ESXi/ESX 4.x 主机VMware Fault Tolerance。仅限 ESXi/ESX 4。
8301UDPESXi/ESX 4.x 主机ESXi/ESX 4.x 主机DVS 端口信息
8302UDPESXi/ESX 4.x 主机ESXi/ESX 4.x 主机DVS 端口信息

ESXi 3.x

端口协议对象目的
53UDPESXi/ESX 主机DNS 服务器DNS
80TCP客户端 PCESXi/ESX 主机将 Web 浏览器重定向到 HTTPS 服务 (443)
111TCPESXi/ESX 主机NFS 服务器NFS 客户端 – RPC Portmapper
111UDPESXi/ESX 主机NFS 服务器NFS 客户端 – RPC Portmapper
123UDPESXi/ESX 主机NTP 时间服务器NTP 客户端
162UDPESX 主机SNMP 收集器SNMP 陷阱发送
427UDPVI / vSphere ClientESXi/ESX 主机CIM 服务位置协议 (SLP)
427TCPVI / vSphere ClientESXi/ESX 主机CIM 服务位置协议 (SLP)
443TCPVI / vSphere ClientESXi/ESX 主机VI / vSphere Client 到 ESXi/ESX 主机的管理连接
443TCPESXi/ESX 主机ESXi/ESX 主机主机间虚拟机迁移和置备
514UDPESXi/ESX 主机Syslog 服务器远程 syslog 日志记录
902TCPVI / vSphere ClientESXi/ESX 主机VI / vSphere Client 到 ESXi/ESX 托管虚拟机的连接(MKS/远程控制台)
902TCP/UDPESXi/ESX 主机ESXi/ESX 主机身份验证、置备、虚拟机迁移
902TCP/UDPESXi/ESX 主机Virtual Center 3.x/ vCenter Server 4.x检测信号
903TCPVI / vSphere ClientESXi/ESX 主机虚拟机远程虚拟机控制台 (MKS)
2049TCPESXi/ESX 主机NFS 服务器NFS 客户端
2049UDPESXi/ESX 主机NFS 服务器NFS 客户端
2050 到 2250UDPESXi/ESX 主机ESXi/ESX 主机VMware HA
3260TCPESXi/ESX 主机iSCSI SAN软件 iSCSI 客户端和硬件 iSCSI HBA
5988TCPESXi/ESX 主机ESXi/ESX 主机CIM 客户端到 CIM 安全服务器
5989TCPVirtualCenter/vCenterESXi/ESX 主机CIM 客户端到 CIM 安全服务器
5989TCPESXi/ESX 主机VirtualCenter/vCenterCIM 安全服务器到 CIM 客户端
8000TCPESXi/ESX 主机(虚拟机目标)ESXi/ESX 主机(虚拟机源)在 VMKernel 接口上进行 VMotion 通信
8000TCPESXi/ESX 主机(虚拟机源)ESXi/ESX 主机(虚拟机目标)在 VMKernel 接口上进行 VMotion 通信
8042 到 8045TCPESXi/ESX 主机ESXi/ESX 主机VMware HA
27000TCPESXi/ESX 主机VMware License ServerESXi/ESX 3.x 主机到 License Server 的通信
27010TCPESXi/ESX 主机VMware License ServerESXi/ESX 3.x 主机到 License Server 的通信

VI/vSphere Client 端口

ESXi 5.x

端口协议对象目的
22TCPvSphere ClientESXi 5.xSSH 服务器
80TCPvSphere client / vSphere Web clientESXi 5.x将 Web 浏览器重定向到 HTTPS 服务 (443)
443TCPVI / vSphere client/ vSphere Web clientESXi/ESX 主机VI / vSphere Client 到 ESXi/ESX 主机的管理连接
902TCPvSphere ClientESXi 5.xvSphere Client 访问虚拟机控制台 (MKS)

ESXi 4.x

端口协议对象目的
80TCPVI / vSphere ClientESXi/ESX 主机将 Web 浏览器重定向到 HTTPS 服务 (443)
443TCPvSphere ClientESXi/ESX 主机vSphere Client 到 ESXi/ESX 主机的管理连接
902TCPvSphere ClientESXi/ESX 主机vSphere Client 到 ESXi/ESX 托管虚拟机的连接 (MKS)
903TCPVI / vSphere ClientESXi/ESX 主机虚拟机远程控制台 (MKS)
80TCPVI / vSphere ClientESXi/ESX 主机将 Web 浏览器重定向到 HTTPS 服务 (443)
443TCPVI / vSphere ClientESXi/ESX 主机VI / vSphere Client 到 ESXi/ESX 主机的管理连接
902TCPVI / vSphere ClientESXi/ESX 主机VI / vSphere Client 到 ESXi/ESX 托管虚拟机的连接(MKS/远程控制台)
903TCPVI / vSphere ClientESXi/ESX 主机虚拟机远程控制台 (MKS)

ESXi 3.x

端口协议对象目的
80TCPVI / vSphere ClientESXi/ESX 主机将 Web 浏览器重定向到 HTTPS 服务 (443)
443TCPVI / vSphere ClientESXi/ESX 主机VI / vSphere Client 到 ESXi/ESX 主机的管理连接
902TCPVI / vSphere ClientESXi/ESX 主机VI / vSphere Client 到 ESXi/ESX 托管虚拟机的连接(MKS/远程控制台)
903TCPVI / vSphere ClientESXi/ESX 主机虚拟机远程虚拟机控制台 (MKS)
80TCPVI / vSphere ClientESXi/ESX 主机将 Web 浏览器重定向到 HTTPS 服务 (443)
443TCPVI / vSphere ClientESXi/ESX 主机VI / vSphere Client 到 ESXi/ESX 主机的管理连接
902TCPVI / vSphere ClientESXi/ESX 主机VI / vSphere Client 到 ESXi/ESX 托管虚拟机的连接 (MKS)
903TCPVI / vSphere ClientESXi/ESX 主机虚拟机远程控制台

VMWARE ESXI事件日志中硬件系统传感器日志告警处理办法

现有一台服务器,安装Vmware Esxi6.5,事件日志中传感器System Management Module 2 Event Log的运行状态为黄色,显示有告警。

接服务器管理口发现硬件状态正常,将硬件日志清除后,在esxi中执行命令localcli hardware ipmi sel clear。

事件日志中传感器显示运行状态正常。

ESXI中VMkernel和VM Network的区别

在vSphere的ESXi服务器上,有两大类型的端口组,分别是:
VM Network – 用于所有虚拟网路卡连接的端口,相当于物理交换机的下行端口组;
VMkernel – 它包含4个子接口,分别是:Management Traffic、vMotion、Fault Tolerance和IP Storage。
默认情况下,VMkernel下的4个子接口的IP地址,都可以用于vSphere Client或命令行登录管理。
Management Traffic – 这个接口主要用于配置vSphere HA时,管理网路心跳传输时用,如果不勾选,则意味着,没有vSphere HA没有心跳网路,将配置失败;
vMotion – 这个接口则用于支持将虚拟机从A ESXi主机在线迁移到B ESXi主机,如果没有这个接口,将无法迁移;
Fault Tolerance – 这个接口则用于支持虚拟机容错;
IP Storage – 这个接口被用于连接IP存储用,包括iSCSI和NFS存储,都可以。
默认情况下,可以把所有选项都勾选上,但是,这样一来,所有流量都将走同一个通道,容易形成相互干扰,进而导致对应的功能失败。因此,在生产环境中,建议独立划分不同的VMkernel子接口,以便完全保障对应业务的成功性。

如何在 ESXi 主机重建之后将主机重新添加到 vSAN 群集

要将 ESXi 主机重新加入 vSAN 群集,请执行以下操作:

  1. 安装主机,确保预留 vSAN 磁盘分区。
  2. 在主机上配置 vSAN VMkernel 端口组。
  3. 在 vCenter Server 中将主机重新连接到 Virtual SAN 群集。
  4. 使用 SSH 连接到 vSAN 群集中剩余的一台主机。
  5. 使用以下命令找到 vSAN Sub Cluster ID:

    # esxcli vsan cluster get

    您会看到类似以下内容的输出:

    Cluster Information
    Enabled: true
    Current Local Time: 2013-09-06T18:50:39Z
    Local Node UUID: 521b50a1-ad57-5028-ad51-90b11c3dd59a
    Local Node State: MASTER
    Local Node Health State: HEALTHY
    Sub-Cluster Master UUID: 521b50a1-ad57-5028-ad51-90b11c3dd59a
    Sub-Cluster Backup UUID: 52270091-d4c9-b9a0-377b-90b11c3dfe18
    Sub-Cluster UUID: 5230913c-15de-dda3-045e-f4d510a93f1c
    Sub-Cluster Membership Entry Revision: 1
    Sub-Cluster Member UUIDs: 521b50a1-ad57-5028-ad51-90b11c3dd59a, 52270091-d4c9-b9a0-377b-90b11c3dfe18
    Sub-Cluster Membership UUID: f3b22752-f055-bcc5-c622-90b11c3dd59a

  6. 使用在步骤 5 中找到的 Sub Cluster UUID 在新重建的 ESXi 主机上运行以下命令:

    # esxcli vsan cluster joinsub_cluster_UUID

    例如:

    # esxcli vsan cluster join -u 5230913c-15de-dda3-045e-f4d510a93f1c

  7. 运行以下命令,确认主机现在为 vSAN 群集的一部分:

    # esxcli vsan cluster get

    您会看到类似以下内容的输出:

    Cluster Information
    Enabled: true
    Current Local Time: 2013-09-06T11:51:51Z
    Local Node UUID: 522756f5-336a-8de0-791a-90b11c3e1fb9
    Local Node State: AGENT
    Local Node Health State: HEALTHY
    Sub-Cluster Master UUID: 521b50a1-ad57-5028-ad51-90b11c3dd59a
    Sub-Cluster Backup UUID: 52270091-d4c9-b9a0-377b-90b11c3dfe18
    Sub-Cluster UUID: 5230913c-15de-dda3-045e-f4d510a93f1c
    Sub-Cluster Membership Entry Revision: 1
    Sub-Cluster Member UUIDs: 521b50a1-ad57-5028-ad51-90b11c3dd59a, 52270091-d4c9-b9a0-377b-90b11c3dfe18, 522756f5-336a-8de0-791a-90b11c3e1fb9
    Sub-Cluster Membership UUID: f3b22752-f055-bcc5-c622-90b11c3dd59a

  8. 在 vCenter Server 中,刷新 vSAN 状态视图。所有主机现在都报告状态为“正常”。

扩展vsan集群,可参考vmware文档,请点击这里

VMware ESXi常用的25条命令

正如所有的虚拟化管理员都知道,要应对VMware基础设施上需要的更多虚拟化管理,关键在于任务的自动化。虽然VMware ESX主机可以管理与vSphere客户端用户界面,数据中心管理员往往喜欢登录到VMware服务控制台和使用ESX命令行来解决,如网络配置问题或重新配置主机。有几个VMware的命令,可以帮助这些任务自动化,解决虚拟化基础设施方面的问题,调整您的(虚拟机)和更多的虚拟机的性能。
在本指南中的VMware命令行,概述了25个最有用ESX命令和ESXi命令。其中包括Linux和ESX的特定命令,很多可以用于远程命令行界面(RCLI),vSphere已改名为vSphere CLI,可在VMware ESX和ESXi中使用。

Linux命令

ESX服务控制台是基于Linux的,因此许多Linux命令都可以在它里面使用。下面是常见的Linux命令和一些VMware命令的详细版本。

find/cat/grep命令查找,显示和搜索文件。find找出具体的文件,cat显示文件内容,并把文件拼接在一起,同时grep负责在拼接的所有文件中找到所需文本。这些命令可以帮助管理员发现,如基础设施快照文件的具体内容,也显示日志和配置文件。他们还可以搜索内部文件的信息。
tail显示一个文本的最后部分的文件,也可以输出到监控实时文件。此命令有助于实时监控日志文件。
service可以启动、停止和重新启动主机服务器上的服务(或程序)。一些常见的ESX服务包括MGMT的和VMware、vmware-vpxa、firewall、vmware-hostd和vmware Web Access。此命令可以重新启动服务,挂起或进行配置更改。
Nano和vi编辑文本文件。Nano是一个比Vi更简单且易于使用的编辑器,但Vi具有更强大的编辑功能。在ESX主机上文本编辑器帮助编辑配置文件。
Su和sudo命令帮助控制和防止root帐户被使用。Su提升了较差的用户帐户到超级用户的权限。sudo运行另一个在sudoers配置文件中指定的用户命令。
ls列出文件和目录信息。通过使用某些交换机,可以显示详细的文件资料,包括所有者、大小、权限和最后修改日期。
df和vdf显示文件系统(分区)的资料,包括自由空间。 df命令不会显示虚拟机文件系统(VMFS)卷,因为它无法阅读。vdf是该命令的VMware的版本,这也将显示VMFS卷的信息。两个命令都可以使用H变换,可用易读的形式显示。(即2 GB,而不是2016044)
ps和kill命令可以强行终止VM。 ps可以显示主机状态或进程。它可以使用很多开关,但最常见的是EF,它可以显示每个进程运行的所有信息。 kill命令经常与PS命令一起用来终止某个正在运行的进程。
ping和vmkping是最基本的网络故障排除命令。 ping通过发送Internet控制消息协议数据包测试与其他主机和网络设备的网络连接。 Vmkping是VMware的Ping命令的特定版本。它使用的IP VMkernel去Ping另一个ESX主机的VMkernel端口。此命令有助于解决VMotion和网络存储的问题。

VMware ESX和ESXi命令

这些VMware ESX和ESXi的命令可以运行在ESX服务控制台(本地或远程使用Secure Shell)或RCLI(在VMware Infrastructure 3)和vSphere CLI的(在vSphere)。在RCLI和vSphere CLI中,注意到很多命令已更名为vicfg,而不是esxcfg -(即esxcfg – nics.pl和vicfg – nics.pl)。两个命令都执行相同的功能,但VMware试图从esxcfg迁移到vicfg。

vmkfstools被比做虚拟磁盘中的瑞士军刀,可用于复制、转换、重命名、输入、输出和调整虚拟磁盘文件的大小。
esxtop故障排除。它提供实时的CPU、内存、硬盘和网络使用的历史表现的统计数字。
esxcfg-nics观察和配置物理网络接口卡(NIC)。它显示网卡状态和配置的速度和全双工网卡。
esxcfg-vswitch显示和配置虚拟交换机。它是在vSphere不能使用网络中有用的配置客户端。该命令用于配置端口组和连接物理网卡(称为上行)配置虚拟局域网ID,思科协议(CDP)和vswitch中的MTU。
esxcfg-vswif和esxcfg-vmknic允许您查看和配置vSwitches特殊的端口组。esxcfg – vswif配置的ESX服务控制台网络接口,它也被称为vswif港口。esxcfg – vmknic配置VMkernel网络接口,这是VMotion和连接到iSCSI和网络文件系统的网络存储设备所必要的。
vmware-cmd是一个复合管理命令,负责管理和检索虚拟机信息。它可以改变虚拟机电源状态、管理快照、注册和注销的用户,并检索和设置各种虚拟机的信息。
vimsh和vmware-vim-cmd是复杂的命令,只有完全了解才能使用。 Vimsh是一个强大的交互式框架,有很多允许执行的命令,以及具备显示和配置能力。 VMware的vim – cmd是一种逻辑的vimsh,能够简化vimsh,无需知道很多前端交换命令。
Vihostupdate和esxupdate更新ESX和ESXi主机和打补丁。 Esxupdate用于ESX服务控制台和vihostupdate,通过RCLI / vSphere CLI使用。此外,vihostupdate35是用来修补ESX和ESXi 3.5版主机。
svmotion是RCLI/vSphere CLI命令,用于发起Storage VMotion的迁移虚拟机虚拟磁盘到另一个数据存储空间。此命令的ESX 3.5版本是唯一启动SVMotion的方法,加上vSphere客户端的GUI,vSphere能做到这一点。
esxcfg-mpath显示和设置一台主机从所有路径到达它的存储设备。
esxcfg-rescan让主机产生一个特定的存储适配器,用来发现新的存储设备。这是非常有用的工具,存储设备已被添加,删除或从存储网络改变。
esxcfg-scsidevs和esxcfg-vmhbadevs显示连接到主机的存储设备的资料。esxcfg – vmhbadevs用于ESX 3.5,在vSphere中被 esxcfg-scsidevs取代。
esxcfg-firewall显示信息和配置内置的防火墙保护ESX服务控制台。它允许和阻止特定的TCP /IP服务之间的控制台和其他网络设备端口。
esxcfg-info命令提供了有关运行中的主机信息。它可以重新定向到一个文本文件记录主机配置。
esxcfg-auth在ESX主机上配置服务控制台验证。它可以配置第三方LDAP或Active Directory服务器的身份验证并设置多个本地安全选项。
vm-support是一个强大的信息收集工具,常用于故障排除。该命令收集大量信息、日志文件,并把很多命令以单一的tgz存档文件方式输出。它也可以用来显示VM的信息以及停止没有响应的虚拟机。

为VMware ESX安装驱动的方法

有时当我们为服务器安装好VMware ESX软件后,却发现服务器上的光纤卡未被识别,这就需要我们为未被识别的设备另外安装驱动,通常安装驱动需以下几步骤:

一、找到驱动并将驱动上传到ESX文件目录中,一般设备的驱动可由服务器厂家提供或者由该设备厂家提供,建议去官网下载,建议下载vib格式驱动文件,再将上传驱动文件,建议开启ESX的SSH,用工具软件WINSCP上传,如果通过USB,可以在/vmfs/volumes找到挂载的卷名,如果通过光驱,则通过以下命令:
# vmkload_mod iso9660
# /sbin/vsish -e set /vmkModules/iso9660/mount mpx.vmhba32:C0:T0:L0
# ls /vmfs/volumes/CDROM
二、进入ESX的SHELL,通过putty或SecureCRT即可。

三、查看设备是否能被识别,可使用linux命令lspci。

四、执行以下命令允许安装第三方包并安装vib格式的驱动:
# esxcli software acceptance set –level=CommunitySupported
# esxcli software vib install -v /tmp/xxxxxxx.vib

五、使用reboot命令重启,重启后生效。

DELL MD3200I存储ISCSI映射到ESXi5.1主机的方法

一、ESXi5.1主机上的操作,使用vsphere client连接ESXi5.1物理主机,连接后做以下操作:

1、配置—网络,vsphere标准交换机—属性—vSwitch—添加,选择VMkernel,网络标签填写ISCSI或者其他的文字说明即可,下一步后使用以下IP设置,填写192.168.130.103,因为DELL MD3200i存储的0号、、1号ISCSI口默认的IP地址为192.168.130.101/24和192.168.131.101/24,所以配置在一个网段即可。

2、配置—存储适配器,添加—添加软件iSCSI适配器,在刚添加的iSCSI Software Adapter上的WWN号上右击属性—动态发现,添加iSCSI服务器192.168.130.101和192.168.131.101,端口都是默认的3260,添加后点击静态发现,会自动发现DELL MD3200i存储。

二、DELL MD3200i存储上的操作,使用DELL MDSM软件连接到存储,新建好虚拟磁盘后,在主机映射中,创建主机组,将新建的虚拟磁盘都添加到主机组中,在主机组中创建主机,将主机端口识别符添加到主机的方法,选择“通过已知的无关联主机端口标识符来进行添加”,选择ESXi5.1的WWN号,用户标签输入主机信息,点击添加,主机操作系统选择VMWARE。

三、在ESXi5.1主机上,配置—存储器—全部重新扫描,会发现数据存储中增加了DELL存储上的虚拟磁盘,操作完成。

DELL MD3200i存储控制器解锁方法详见http://www.eumz.com/2013-06/910.html

——————————————————————————————————

附:DELL MD3200i存储管理软件MDSM下载地址:http://www.dell.com/support/drivers/us/en/555/DriverDetails/Product/powervault-md3600f?driverId=JJW99&osCode=WS8R2&fileId=3084846822