VMware vSphere67主机配置文件规划

vSphere主机配置文件VMwarevSphere6.7VMwareESXi6.7vCenterServer6.7目录关于vSphere®主机配置文件51vSphere主机配置文件简介6主机配置文件使用情况模型6引用主机独立性72使用主机配置文件8访问主机配置文件8创建主机配置文件8在主机配置文件中附加或分离实体9检查合规性9调度合规检查10修复主机11编辑主机配置文件11复制主机配置文件15从主机复制设置15主机配置文件和vSphereAutoDeploy16导入主机配置文件16导出主机配置文件16将设置复制到主机配置文件173配置主机配置文件18主机自定义18配置安全主机配置文件22配置网络连接主机配置文件234建议的主机配置文件升级工作流25在包含版本为6.0或更低版本的有状态ESXi主机的环境中将vCenterServer从6.0升级到6.725在包含版本为6.5或更低版本的有状态ESXi主机的环境中将vCenterServer从6.5升级到6.727vCenterServer在仅具有无状态ESXi6.0主机的环境中从6.0升级到6.729vCenterServer在仅具有无状态ESXi6.5主机的环境中从6.5升级到6.730应答文件字段和主机配置文件提取315主机配置文件故障排除33主机自定义数据丢失33引用主机不可用34存储主机配置文件导致合规性错误34编辑主机配置文件设置失败35VMware,Inc.保留所有权利。3无NFS数据存储的主机配置文件36升级后的主机不符合旧版主机配置文件36《vSphere主机配置文件》VMware,Inc.保留所有权利。4关于vSphere®主机配置文件《vSphere主机配置文件》文档提供了有关管理主机配置文件的信息。《vSphere主机配置文件》文档介绍了如何在vSphereClient中管理和配置主机配置文件。目标读者《vSphere主机配置文件》文档旨在供熟悉vSphere主机配置的管理员使用。vSphereClient本指南中的说明反映vSphereClient（基于HTML5的GUI）。您也可以使用这些说明通过vSphereWebClient（基于Flex的GUI）执行任务。vSphereClient和vSphereWebClient之间工作流明显不同的任务具有重复过程，其根据相应客户端界面提供步骤。与vSphereWebClient有关的过程在标题中包含vSphereWebClient。注在vSphere6.7Update1中，几乎所有vSphereWebClient功能在vSphereClient中得以实现。有关其他不受支持的功能的最新列表，请参见《vSphereClient功能更新说明》。VMware,Inc.保留所有权利。5vSphere主机配置文件简介1主机配置文件功能可用于创建配置文件，该配置文件会封装并帮助管理主机配置，尤其是在管理员管理vCenterServer中的多个主机或群集的环境中。主机配置文件为主机配置和配置合规性提供自动化的集中管理机制。主机配置文件可以通过降低对重复手动任务的依赖来提高效率。主机配置文件捕获预配置和验证的引用主机的配置，以受管对象方式存储该配置，并使用其中包含的参数目录来配置网络连接、存储、安全性及其他主机级别的参数。主机配置文件可以应用于单个主机、群集或与某个主机配置文件关联的所有主机或群集。将主机配置文件应用到群集将影响群集中的所有主机，并使应用主机上的配置保持一致。通过检查主机或群集与其关联的主机配置文件的合规性，可以使用主机配置文件来验证主机的配置。本章讨论了以下主题：n主机配置文件使用情况模型n引用主机独立性主机配置文件使用情况模型主机配置文件工作流从引用主机的概念开始。被提取为主机配置文件的引用主机的配置可用作配置其他主机的配置模板。引用主机不必与从中提取的主机配置文件相关或关联。开始前，请确保您的现有vSphere环境安装中至少具有一个正确配置的ESXi主机。从引用主机中创建主机配置文件、对主机或群集应用主机配置文件以及对照主机配置文件检查合规性所需的顺序如下：1设置和配置引用主机。2从引用主机创建主机配置文件。3将主机或群集附加到主机配置文件。4检查主机配置文件的合规性。如果所有主机都与引用主机相符，则所有主机均已正确配置。5应用（修复）。作为vSphere的一项许可功能，主机配置文件仅在获得相应的许可时才可用。如果发现错误，请确保具有针对所拥有主机的相应vSphere授权许可。如果希望主机配置文件使用目录服务进行身份验证，则需要配置引用主机以使用目录服务。请参见《vSphere安全性》文档。VMware,Inc.保留所有权利。6vSphereAutoDeploy对于使用vSphereAutoDeploy置备的主机，vSphereClient拥有主机配置文件中捕获的整个主机配置。通常情况下，主机配置文件信息足以存储所有配置信息。使用AutoDeploy置备的主机启动时，系统有时会提示用户输入。有关AutoDeploy的详细信息，请参见《VMwareESXi安装和设置》文档。引用主机独立性执行主机配置文件任务时，不需要专用的引用主机。创建主机配置文件时，需要从指定的ESXi引用主机提取配置信息。在以前的版本中，vSphere要求引用主机可用于某些主机配置文件任务（如编辑、导入和导出）。从vSphere6.0或更高版本开始，执行这些任务不再需要专用的引用主机。对于需要引用主机的主机配置文件任务，系统会将与该主机配置文件兼容的一台ESXi主机指定为引用主机。某些情况下，在执行这些任务时，没有兼容的主机可用于验证主机配置文件。如果对主机配置文件进行的更改较少，无需验证，可以跳过此验证。如果跳过主机验证，系统将显示一条警告，指出此配置文件没有关联的有效引用主机。您可以继续操作并完成任务。由于推出该功能，用户无法再从vSphereClient编辑或更改引用主机。系统将在运行时在vCenterServer中为当前任务选择引用主机，而不会通知用户。《vSphere主机配置文件》VMware,Inc.保留所有权利。7使用主机配置文件2本节介绍了如何为主机配置文件执行一些基本任务。本章讨论了以下主题：n访问主机配置文件n创建主机配置文件n在主机配置文件中附加或分离实体n检查合规性n调度合规检查n修复主机n编辑主机配置文件n复制主机配置文件n从主机复制设置n主机配置文件和vSphereAutoDeployn导入主机配置文件n导出主机配置文件n将设置复制到主机配置文件访问主机配置文件“主机配置文件”主视图列出所有可用的配置文件。管理员还可以使用“主机配置文件”主视图对主机配置文件执行操作，并配置这些配置文件。步骤1从“主页”菜单中，单击策略和配置文件。2选择主机配置文件。创建主机配置文件通过提取指定的引用主机配置，可以创建主机配置文件。VMware,Inc.保留所有权利。8前提条件验证您是否成功安装了vSphere并至少具有一个完整且正确配置的主机可充当引用主机。步骤1导航到主机配置文件主视图，然后单击提取主机配置文件。2选择可充当引用主机的主机，然后单击下一步。所选主机必须是有效主机。3输入新配置文件的名称和描述，然后单击下一步。4查看新配置文件的摘要信息，然后单击完成。新配置文件将显示在主机配置文件窗格中。注主机配置文件无法捕获脱机设备或不存在的设备。在提取主机配置文件后对脱机设备所作的任何更改均不会影响合规性检查结果。在主机配置文件中附加或分离实体从引用主机创建主机配置文件后，请将主机或群集附加到主机配置文件。要解除配置与ESXi主机或整个群集的关联，必须从主机配置文件中分离该主机或群集。当主机配置文件附加到群集时，该群集中的一个或多个主机也会附加到主机配置文件。但是，当主机配置文件与整个群集分离时，群集中的一个或多个主机与该主机配置文件之间就没有关联了。从ESXi主机或群集分离主机配置文件不会删除该主机配置文件。将主机配置文件从与之关联的所有实体中分离后，您可以删除该主机配置文件。注还可以通过右键单击特定的主机并选择主机配置文件>附加主机配置文件或主机配置文件>分离主机配置文件，附加或分离主机配置文件。此过程是无中断的。步骤1导航到主机配置文件主视图。2右键单击主机配置文件，然后选择附加/分离主机和群集...。3从列表中选择或取消选择主机或群集，然后单击保存。可以使用筛选器文本框搜索主机和群集列表。将在选定的主机配置文件中添加或移除主机或群集。检查合规性可以确认主机或群集相对于其附加的主机配置文件的合规性，并确定主机上的哪些配置参数（如果有）与主机配置文件中指定的参数不同。《vSphere主机配置文件》VMware,Inc.保留所有权利。9步骤1导航到主机配置文件主视图。2右键单击主机配置文件。3单击检查主机配置文件合规性。合规性状态将更新为“合规”、“未知”或“不合规”。不合规状态表示在配置文件与主机之间发现了特定的不一致。要解决该问题，您应修复主机。任何未知状态均表示无法验证主机的合规性；要解决此问题，请通过主机配置文件修复主机。合规性检查失败的原因通常是主机已断开连接。注主机配置文件无法捕获脱机或已删除的设备。在提取主机配置文件后对脱机设备所作的任何更改均不会影响合规性检查结果。后续步骤要查看合规性错误的更多详细信息，请从主机配置文件主视图中选择上次合规性检查生成了一个或多个错误的主机配置文件。要详细了解合规性检查失败的主机与主机配置文件之间不同的参数，请单击监控选项卡并选择“合规性视图”。然后选择失败的主机。不同的参数将显示在“合规性”窗口中主机列表的下面。调度合规检查可以使用标准的vSphereClient已调度任务工作流，安排定期对主机或群集进行合规性检查。此自动化可确定任何配置参数是否不同于主机配置文件中指定的配置参数。步骤1导航到主机配置文件主视图。2选择所需的主机配置文件，然后导航到监控选项卡。3从监控选项卡中，选择已调度任务->新建调度任务->检查合规性。将显示调度新任务(检查合规性)对话框。4（可选）输入新的任务名称。可以在描述文本框中输入有关任务的其他详细信息。5选择运行任务的频率。可以推迟任务首次运行的时间和任务结束时间。6（可选）要在任务完成后收到通知，请输入电子邮件。7单击调度任务。新创建的任务将显示在已调度任务列表中。注可以编辑、运行或移除任务。《vSphere主机配置文件》VMware,Inc.保留所有权利。10后续步骤要了解有关合规性状态、检查或故障的详细信息，请参见检查合规性。修复主机如果出现合规性错误，请使用“修复”功能对该主机应用主机配置文件设置。此操作会将所有由主机配置文件管理的参数更改为附加到该主机的配置文件中的值。前提条件验证配置文件是否已附加到主机。步骤1导航到主机配置文件主视图。2右键单击主机配置文件，然后选择修复。注某些主机配置文件策略配置需要在修复后重新引导主机。在这些情况下，系统会提示您将主机置于维护模式。您可能需要先将主机置于维护模式，然后再进行修复。全自动DRS群集中的主机会在修复时被置于维护模式。而在其他情况下，如果在需要修复主机时，主机未处于维护模式，则修复过程将停止。3选择要使用主机配置文件修复的一个或多个主机。主机配置文件将应用到所选的每个主机。4（可选）输入主机自定义设置以指定主机属性，或者通过浏览导入一个主机自定义设置文件。可以通过自定义主机为主机配置文件策略更新或更改用户输入参数，然后单击下一步。注有关vSphereAutoDeploy的详细信息，请参见主机配置文件和vSphereAutoDeploy。5单击预检查修复，检查所选的主机是否准备就绪可以进行修复。该检查会生成要在主机上执行的任务的列表。6如果需要重新引导主机才能完成修复过程，请选中相应的复选框。如果要在完成该过程后手动重新引导主机，请勿选择该复选框。7查看修复主机配置文件所必需的任务，然后单击完成。合规性状态即会更新。编辑主机配置文件可以查看和编辑主机配置文件策略，选择要进行合规性检查的策略，并更改策略名称或描述。步骤1导航到主机配置文件主视图。2选择要编辑的主机配置文件，然后单击配置选项卡。3单击编辑主机配置文件。《vSphere主机配置文件》VMware,Inc.保留所有权利。114（可选）单击“名称”和“描述”选项卡以更改配置文件名称和描述。5在编辑主机配置文件页面中，展开每个类别以查看或编辑特定策略或设置。注有关编辑主机配置文件策略的详细说明，请参见编辑策略。有关通过合规性检查或修复启用或禁用策略的详细说明，请参见禁用主机配置文件组件或子配置文件。6查看所有主机配置文件配置或仅查看收藏夹配置。您可以使用星号图标将配置标记为收藏。然后它们会被添加到收藏夹配置。7（可选）在搜索字段中，筛选要查看的配置名称和值。例如，输入SNMP。此时将显示与SNMP相关的所有配置。8（可选）自定义主机。对此配置文件的可用配置值进行任何更改，然后单击保存。注仅当更改了任何需要主机自定义的设置时，才会显示主机自定义设置页面。在“近期任务”状态中完成“更新主机配置文件”任务时，就会进行更改。如果尝试在任务完成前修复配置文件，则配置文件配置不包含此更改。编辑策略策略描述如何应用特定的配置设置。您可编辑属于特定主机配置文件的策略。编辑主机配置文件时，可以展开主机配置文件的配置层次结构，查看组成主机配置文件的子配置文件组件。这些组件按功能组或资源类别进行分类，可以更方便地查找特定参数。每个子配置文件组件中包含一个或多个属性和参数，以及策略和合规性检查。每个策略由一个或多个选项组成，这些选项中包括一个或多个参数。每个参数包括密钥和值。值的基本类型可以是以下几种：整数、字符串、字符串数组或整数数组。注目前，无法移除或替换此版本中已弃用的策略选项策略或子配置文件。元数据将添加到这些已弃用的策略中，以允许旧的主机配置文件继续工作，但将仅使用主机配置文件的未弃用部分提取新的主机配置文件。《vSphere主机配置文件》VMware,Inc.保留所有权利。12表2‑1.主机配置文件子配置文件配置的子集组件类别配置设置注释和示例高级配置设置高级选项、代理虚拟机、DirectPathI/O、主机文件、电源系统、系统映像缓存n如果高级设置与默认设置相同，则主机配置文件不会检查高级设置。vCenterServer将仅复制已更改且与默认值不同的高级配置设置。此外，合规性检查限于复制的设置。n主机配置文件不支持ESXi主机上虚拟机直通的PCI设备的配置。一般系统设置控制台、核心转储、设备别名、主机缓存、内核模块、管理代理、系统资源池、系统交换、vFlash主机交换缓存、CIM-XML指示订阅对于日期和时间配置：n对于时区，请输入一个UTC字符串。例如，对于美国太平洋时区，输入“America/Los_Angeles”。n默认时区设置为vSphereWebClient计算机所在的本地时间和位置。n正确配置网络时间(NTP)。可在主机的配置选项卡上配置NTP设置。单击时间配置（在系统下）。单击编辑配置时间设置。网络vSwitch、端口组、物理网卡速度、安全和网卡绑定策略、vSphereDistributedSwitch和vSphereDistributedSwitch上行链路端口。在网络连接子配置文件中启用DHCPv6时，请手动打开防火墙子配置文件中相应的规则集。《vSphere主机配置文件》VMware,Inc.保留所有权利。13表2‑1.主机配置文件子配置文件配置的子集（续）组件类别配置设置注释和示例安全防火墙、安全设置、服务存储配置存储选项包括本机多路径(NMP)、可插入存储架构(PSA)、FCoE和iSCSI适配器以及NFS存储。n先使用vSphereCLI配置或修改引用主机上的NMP和PSA策略，然后从该主机提取主机配置文件。如果使用配置文件编辑器编辑策略，为了避免出现合规性错误，请确保您了解NMP和PSA策略之间的相互关系以及更改各个策略的后果。有关NMP和PSA的信息，请参见vSphere存储文档。n添加在从引用主机提取主机配置文件前更改设备属性的策略。将主机附加到主机配置文件后，如果编辑配置文件并更改设备属性（例如屏蔽设备路径或添加SATP规则将设备标记为SSD），系统会提示您重新引导主机才能进行更改。但是，重新引导后会因属性更改而发生合规性错误。由于主机配置文件在重新引导前提取设备属性，因此如果在重新引导后发生任何更改，系统会评估和查找这些更改，并将其为不合规。n在提取主机配置文件后使用vSphereWebClient配置或修改SatpDeviceProfile策略。出于合规性目的，策略选项字符串必须采用以下格式：n对于ALUA支持的阵列，例如SATP_ALUA，策略选项必须用分号隔开（;）。例如：implicit_support=<on/off>;explicit_support=<on/off>;action_onRetryErrors=<on/off>n对于带有CX的ALUA支持的阵列，例如SATP_ALUA_CX，策略选项必须用分号隔开（;）。例如：navireg=<on/off>;implicit_support=<on/off>;action_onRetryErrors=<on/off>n对于CX阵列，例如SATP_CX或SATP_INV，策略选项必须用空格隔开。例如：navireg=<on/off>ipfilter=<on/off>action_onRetryErrors=<on/off>注标记为off的策略配置选项不在配置字符串中。其他配置文件配置类别包括：用户组、身份验证、内核模块、DCUI键盘、主机缓存设置、SFCB、资源池、登录横幅、SNMP代理、电源系统以及CIM指示订阅。步骤1编辑主机配置文件。《vSphere主机配置文件》VMware,Inc.保留所有权利。142展开子配置文件，直到看到要编辑的策略为止。3选择该策略。策略选项和参数将在编辑主机配置文件窗口的右侧显示。4对策略进行更改。禁用主机配置文件组件或子配置文件您可以决定是否在合规性检查过程中应用或考虑主机配置文件组件或子配置文件。这使得管理员能够排除考虑非关键属性，或者忽略那些虽然属于主机配置文件但可能会在主机间发生变化的值。步骤1编辑主机配置文件。2展开主机配置文件组件层次结构，直到看到所需的组件或组件元素为止。3禁用组件旁边的复选框，从而在修复期间不应用该组件或者在配置文件合规性检查期间不考虑该组件。注此复选框在默认情况下启用。如果禁用该复选框，则不会对该组件或组件元素进行合规性检查或在修复期间应用该组件或组件元素，但仍会应用和检查启用的其他子配置文件。复制主机配置文件主机配置文件复制是现有主机配置文件的副本。步骤1导航到主机配置文件主视图，然后选择您要复制的主机配置文件。2单击复制主机配置文件。3键入复制主机配置文件的不同名称和描述，然后单击确定。配置文件的克隆将显示在“主机配置文件”列表中。从主机复制设置如果引用主机的配置发生更改，您可以更新主机配置文件，从而使其与引用主机的新配置匹配。创建主机配置文件之后，可以对配置文件进行增量更新。对主机配置文件进行更改时，请考虑以下两种的优点和限制：n对主机进行配置更改，然后将主机的设置复制到该配置文件。现有配置文件中的设置将更新，以匹配主机的设置。此方法允许您在将配置传输到附加到该配置文件的其他主机之前验证配置。n通过编辑主机配置文件直接更新配置文件。此方法提供了对这些更改执行更全面、更及时的修复的功能。注固定的用户密码、系统映像缓存和某些主机自定义设置不会显示在刚更新的主机配置文件中。编辑主机配置文件以更新这些设置。《vSphere主机配置文件》VMware,Inc.保留所有权利。15步骤1导航到主机配置文件主视图，并选择主机配置文件。2单击从主机复制设置。3选择您要从其复制配置设置的主机。4单击确定。主机配置文件和vSphereAutoDeploy主机配置文件与vSphereAutoDeploy配合使用，以便置备物理ESXi主机，使虚拟交换机、驱动程序设置、引导参数等配置状态完整并且符合预期。由于通过AutoDeploy置备的主机被视为无状态，因此配置状态信息不会存储在主机上。相反，您可以创建引用主机并使用所需设置对其进行全面配置。然后，使用该引用主机创建主机配置文件。接下来，使用AutoDeploy规则引擎通过PowerCLI将主机配置文件与新部署规则相关联。现在，由于新主机是通过AutoDeploy置备的，它们将自动应用主机配置文件在修复方面，这些主机与有状态部署的主机相同。当应用主机配置文件时，系统将提示用户自定义主机并输入在创建主机配置文件时指定的策略答案。注如果通过AutoDeploy部署ESXi，请配置syslog将日志存储在远程服务器上。有关从主机配置文件界面设置Syslog的说明，请参见《vSphere安装和设置》文档。有关详细信息，请参见vSphereAutoDeploy文档中的设置AutoDeploy引用主机。导入主机配置文件可以从VMware配置文件格式(.vpf)的文件中导入配置文件。导出主机配置文件时，将不导出管理员密码和用户配置文件密码。此操作是一个安全措施，防止密码在配置文件导出时以纯文本导出。配置文件导入后，系统将提示您重新输入密码值，该密码将应用于主机。步骤1导航到主机配置文件主视图。2单击导入主机配置文件。3单击浏览以找到要导入的VMware配置文件格式文件(.vpf)。4为导入的主机配置文件输入名称和描述，然后单击确定。已导入的配置文件将出现在配置文件列表中。导出主机配置文件可以将配置文件导出到VMware配置文件格式(.vpf)的文件中。导出主机配置文件时，将不导出管理员密码和用户配置文件密码。此操作是一个安全措施，防止密码在配置文件导出时以纯文本导出。配置文件导入后，系统将提示您重新输入密码值，该密码将应用于主机。《vSphere主机配置文件》VMware,Inc.保留所有权利。16步骤1导航到主机配置文件主视图。2右键单击配置文件，然后选择导出主机配置文件。3单击保存。4（可选）选择位置，并输入要将配置文件导出到的文件名称。此步骤仅适用于vSphereWebClient将设置复制到主机配置文件更改主机配置文件后，可以将这些更改传播到清单中的其他主机配置文件。步骤1导航到主机配置文件主视图。2右键单击配置文件，然后选择将设置复制到主机配置文件。3选择要复制到其他主机配置文件的设置，然后单击下一步。4选择要使用所选设置覆盖的目标主机配置文件，然后单击下一步。即将完成页面上将显示主机配置文件设置之间的差异。5单击完成。《vSphere主机配置文件》VMware,Inc.保留所有权利。17配置主机配置文件3本节介绍了如何使用主机配置文件编辑器配置主机配置文件。本章讨论了以下主题：n主机自定义n配置安全主机配置文件n配置网络连接主机配置文件主机自定义要自定义具有共享属性的主机，可以在引用主机中创建一个主机配置文件。要自定义单个主机，可以设置主机配置文件中的某些字段，以便提示用户为每个主机进行输入。使用主机配置文件，可以在引用主机中预先指定存储设置或Syslog设置等信息，然后将主机配置文件应用到一组共享相同设置的目标主机。还可以使用主机配置文件指定某些设置与主机有关。如果这样做，当使用AutoDeploy置备主机时，主机将以维护模式启动。修复主机或重置主机自定义，以提示输入。系统会存储输入，并在下次主机引导时使用该信息。如果主机配置文件设置为提示用户进行输入，当重置主机自定义时，则必须在出现的对话框中指定一个值。如果未指定值，则会出错。表3‑1.提示iSCSI用户进行输入的主机配置文件选项请求用户输入的信息设置主机配置文件选项如果在具有用于iSCSI的配置文件的系统上应用主机配置文件，则会提示您输入若干属性。对于许多属性，可以使用系统默认值。对于某些属性，必须指定一个值，否则会出错。IQN名称如果iSCSI设置使用IQN名称，则在应用主机配置文件时会提示您输入IQN名称。只有提供该名称，才能继续操作。CHAP信息如果将iSCSI设置为要求CHAP身份验证，则在应用主机配置文件时会提示您输入CHAP信息，其中包括用户名和密钥。只有提供该名称，才能继续操作。1选择编辑主机配置文件，单击存储配置，然后单击iSCSI启动器配置。2选择已经启用的启动器的文件夹并设置该启动器。3设置启动器。对于许多字段，在主机自定义过程中，系统会提示用户进行输入。VMware,Inc.保留所有权利。18表3‑2.提示存储用户进行输入的主机配置文件选项请求用户输入的信息设置主机配置文件选项您要设置固定PSP配置，并希望提示输入将使用固定PSP的存储阵列的适配器和目标ID。仅当适配器设置为使用固定PSP时，才能设置该选项。1选择编辑主机配置文件，单击存储配置。2单击本机多路径(NMP)。3单击路径选择策略(PSP)配置。4在“首选路径”窗口中，选择提示用户指定主机上的适配器和目标ID。根据用户指定的MAC地址，配置FCoE适配器激活。仅当存在激活配置文件时，才能设置该选项。1选择编辑主机配置文件，单击存储配置。2单击软件FCoE配置。3单击适配器配置。4单击“激活配置文件”，然后单击策略配置文件。5从下拉菜单中选择基于适配器MAC地址的激活策略。表3‑3.提示安全用户进行输入的主机配置文件选项请求用户输入的信息设置主机配置文件选项ESXi主机首次引导时，提示输入该主机的管理员密码。1选择编辑主机配置文件，然后单击安全和服务。2单击安全设置，然后单击安全配置。3在右侧面板中，从管理员密码下拉菜单中选择用于配置管理员密码的用户输入密码。预先配置ESXi主机的用户，但在每个主机首次引导时提示输入主机上该用户的密码。仅当存在用户配置时，才能执行该任务。选择下列选项之一，配置该用户。n分配固定的用户配置，用于实现与ESX/ESXi4.1系统的兼容性，此选项将以明文形式显示密码。n分配高级的固定用户配置适用于ESXi5.0及更高版本系统的用户。n指定配置文件中的用户配置，且在主机配置过程中提示输入密码，用于指定用户相关信息，但提示输入每个主机的密码。当主机加入活动目录域时，提示用户输入凭据。1将身份验证配置的配置文件设置为使用固定域。a选择编辑主机配置文件，单击安全和服务。b单击安全设置，然后单击身份验证配置。c单击ActiveDirectory配置。d在“域名”下拉菜单中，选择配置固定域名。2将加入域的方法设置为提示用户。a选择编辑主机配置文件，单击安全和服务，然后单击身份验证配置。b单击ActiveDirectory配置。c在“加入域方法”下拉菜单中，选择使用用户指定的AD凭据以将主机加入域。《vSphere主机配置文件》VMware,Inc.保留所有权利。19表3‑4.提示联网用户进行输入的主机配置文件选项请求用户输入的信息设置主机配置文件选项提示用户输入端口组的MAC地址。可以让系统在所有情况下都提示用户输入用户指定的MAC地址，或者仅当默认值不可用时才提示用户输入用户指定的MAC地址。1选择编辑主机配置文件，单击网络配置，然后单击主机端口组。2单击管理网络。3在确定应如何决定vmknic的MAC地址字段中，选择系统如何管理MAC地址。n用户指定在应用配置时使用的MAC地址n如果无默认值可用，提示用户输入MAC地址提示用户输入配置文件应用到的每个ESXi主机的IPv4地址。可以让系统在所有情况下都提示用户输入用户指定的IPv4地址，或者仅当默认值不可用时才提示用户输入用户指定的IPv4地址。1选择编辑主机配置文件，单击网络配置，然后单击主机端口组。2依次单击管理网络和IP地址设置。3在IPv4地址字段中，选择系统如何管理IPv4地址。n用户指定在应用配置时使用的IPv4地址n如果无默认值可用，提示用户输入IPv4地址提示用户输入配置文件应用到的每个ESXi主机的IPv6地址。可以让系统在所有情况下都提示用户输入用户指定的IPv6地址，或者仅当默认值不可用时才提示用户输入用户指定的IPv6地址。1选择编辑主机配置文件，单击网络配置，然后单击主机端口组。2依次单击管理网络和IP地址设置。3在静态IPv6地址字段中，选择系统如何管理IPv6地址。n用户指定在应用配置时使用的IPv6地址n如果无默认值可用，提示用户输入IPv6地址提示用户输入主机的DNS名称。可以让系统在所有情况下都提示用户输入用户指定的主机名，或者仅当默认值不可用时才提示用户输入用户指定的主机名。1选择编辑主机配置文件，单击网络配置，然后单击DNS配置。2在“主机名称”字段中，选择系统如何管理DNS配置。n如果无默认值可用，提示用户输入主机名n用户指定在应用配置时使用的主机名提示用户输入DistributedSwitch的MAC地址、端口组或者其服务之一。右键单击“主机虚拟网卡”文件夹图标，然后单击添加子配置文件图标，以确定该设置应用到的组件。您可以决定是在所有情况下都提示用户输入，还是仅当默认值不可用时提示用户输入。1打开网络配置。2单击主机虚拟网卡。3在确定应如何决定vmknic的MAC地址字段中，选择系统如何管理DistributedSwitch的MAC地址。n用户指定在应用配置时使用的MAC地址n如果无默认值可用，提示用户输入MAC地址《vSphere主机配置文件》VMware,Inc.保留所有权利。20表3‑4.提示联网用户进行输入的主机配置文件选项（续）请求用户输入的信息设置主机配置文件选项提示用户输入DistributedSwitch的IPv4地址、端口组或者其服务之一。右键单击“主机虚拟网卡”文件夹图标，然后单击添加子配置文件图标，以确定该设置应用到的组件。您可以确定是仅当默认值不可用时提示用户输入，还是在所有情况下都提示用户输入。1打开网络配置。2单击主机虚拟网卡。3单击IP地址设置。4在“IPv4地址”字段中，选择系统如何处理DistributedSwitch的IPv4地址。n用户指定在应用配置时使用的IPv4地址n如果无默认值可用，提示用户输入IPv4地址提示用户输入DistributedSwitch的IPv6地址、端口组或者其服务之一。右键单击“主机虚拟网卡”文件夹图标，然后单击添加子配置文件图标，以确定该设置应用到的组件。您可以确定是仅当默认值不可用时提示用户输入，还是在所有情况下都提示用户输入。1打开网络配置。2打开主机虚拟网卡。3打开IP地址设置。4在静态IPv6地址字段中，选择系统如何管理DistributedSwitch的IPv6地址。n用户指定在应用配置时使用的IPv6地址n如果无默认值可用，提示用户输入IPv6地址导出主机自定义如果主机配置文件包含任何自定义属性，则可以将其导出到桌面上的.CSV文件。出于安全考虑，不会导出密码等敏感数据。注也可以通过以下方法导出主机配置文件自定义：右键单击特定主机，然后选择主机配置文件>导出主机配置文件自定义。步骤1导航到“主机配置文件”主视图。2右键单击主机配置文件，然后选择导出主机自定义。3选择自定义文件的保存位置。该文件将保存为.csv文件。4单击保存。注仅支持英语版的.csv文件。后续步骤将文件保存到桌面后，您可以手动编辑并保存该文件，以便稍后应用自定义。编辑主机自定义您可以编辑附加到主机配置文件的特定主机或群集的主机自定义。《vSphere主机配置文件》VMware,Inc.保留所有权利。21步骤1导航到主机配置文件主视图。2右键单击主机配置文件，然后选择编辑主机自定义。3选择要为其编辑自定义的一个或多个主机，然后单击下一步。4（可选）在自定义主机页面中，可以从桌面导入主机自定义.csv文件。注导入过程以及.csv文件中的值将覆盖自定义主机窗格中的用户输入。导入.csv文件后，将使用文件中的信息更新文本框。5编辑主机配置值。6单击完成。配置安全主机配置文件使用此过程来管理角色、用户帐户，以及分组成为安全主机配置文件一部分的ActiveDirectory权限配置文件。可以配置属于安全配置文件一部分的主机配置文件选项。前提条件请确保您可使用SecurityConfigProfile插件来验证角色、用户帐户和ActiveDirectory权限配置文件，因为它们之间具有依赖关系。步骤1导航到主机配置文件主视图。2选择要编辑的主机配置文件，然后单击配置选项卡。3单击编辑主机配置文件。4展开安全和服务>安全设置配置文件类别，然后打开安全文件夹。您将看到以下配置文件：《vSphere主机配置文件》VMware,Inc.保留所有权利。22角色此配置文件使您能够查看默认角色，并在ESXi系统内添加自定义角色。用户配置此配置文件使您能够创建并管理用户帐户。下面是一些可以对用户帐户执行的操作：n创建用户帐户。n配置用户帐户的密码。n配置root用户的密码。n配置不是默认用户的任何用户的角色。n为本地帐户分配默认或自定义角色（配置权限）。n配置任何用户的SSH密钥。ActiveDirectory权限此配置文件使您能够管理ActiveDirectory用户或组的权限。例如，您可以创建将ActiveDirectory用户或组与角色关联的权限。当ESXi主机加入ActiveDirectory域时，会为DOMAIN组ESXAdmins创建管理员权限。此外，当ActiveDirectory用户或组在ESXi主机上获得某些权限时，将在该主机上创建相应的权限。ActiveDirectory权限配置文件将捕获该权限。有关安全配置文件的信息，请参见《vSphere安全性》文档。配置网络连接主机配置文件默认情况下，DHCP服务器为使用vSphereAutoDeploy置备的主机分配DHCP地址。您可以使用vSphereAutoDeploy主机自定义机制向主机分配静态IP地址。前提条件n设置vSphereAutoDeploy环境。n使用vSphereAutoDeploy引导主机。n从主机中提取主机配置文件。步骤1导航到主机配置文件主视图。2选择要编辑的主机配置文件，然后单击配置选项卡。3单击编辑主机配置文件。4导航到网络配置>主机端口组>管理网络>IP地址设置，以更改默认IP地址设置。5从IPv4地址下拉菜单中，选择用户指定在应用配置时使用的IP地址。6如果主机与vCenterServer系统位于不同子网，请选择网络配置>网络栈实例>defaultTcpipStack>DNS配置，然后在默认IPv4网关文本框中输入默认路由。7选择网络配置>网络栈实例>defaultTcpipStack>DNS配置。8确保已取消选择指示是否应使用DHCP的标记复选框。9右键单击主机，然后选择所有vCenter操作>主机配置文件>附加主机配置文件。10选择要附加的配置文件，然后单击下一步。11提供IP地址和网络掩码，然后单击完成。《vSphere主机配置文件》VMware,Inc.保留所有权利。2312重新引导ESXi主机。此时会将IP地址另存为主机自定义信息并应用于主机。《vSphere主机配置文件》VMware,Inc.保留所有权利。24建议的主机配置文件升级工作流4升级包含一个或多个版本为5.5、6.0和6.5的主机配置文件的vCenterServer6.0和6.5环境时，每个工作流都是建议的升级途径。升级支持列表将vCenterServer从版本6.0或6.5升级到版本6.7时，可以保留当前的ESXi主机版本和主机配置文件版本。有关其他升级工作流，请参见《升级支持列表》。表4‑1.升级支持列表升级工作流vCenterServerESXi主机主机配置文件5.5之前的版本->5.5/6.0/6.5->6.7升级为必需升级为必需升级为必需5.5->6.7升级为必需升级为必需升级为必需6.0->6.7升级为必需升级为可选升级为可选6.5->6.7升级为必需升级为可选升级为可选本章讨论了以下主题：n在包含版本为6.0或更低版本的有状态ESXi主机的环境中将vCenterServer从6.0升级到6.7n在包含版本为6.5或更低版本的有状态ESXi主机的环境中将vCenterServer从6.5升级到6.7nvCenterServer在仅具有无状态ESXi6.0主机的环境中从6.0升级到6.7nvCenterServer在仅具有无状态ESXi6.5主机的环境中从6.5升级到6.7n应答文件字段和主机配置文件提取在包含版本为6.0或更低版本的有状态ESXi主机的环境中将vCenterServer从6.0升级到6.7将版本为6.0的vCenterServer升级到版本6.7时，可以使用升级工作流来解决版本合规性错误。VMware,Inc.保留所有权利。25环境中包含有状态ESXi5.5和6.0主机如果群集中包含有状态ESXi5.5和ESXi6.0主机，可以使用现有工作流解决将vCenterServer版本6.0升级到6.7版本时出现的版本合规性错误。前提条件n群集中包含ESXi5.5和ESXi6.0主机。n具有版本5.5的主机配置文件附加到群集。n您的vCenterServer具有版本6.0。步骤1将群集中的所有ESXi5.5主机升级到版本6.0。2根据版本为5.5的主机配置文件修复升级的主机。3从群集中的某个已升级主机提取新的主机配置文件。主机配置文件策略中有一些参数发生了变动。有关详细信息，请参见应答文件字段和主机配置文件提取。4将版本为6.0的主机配置文件附加到群集。5根据版本为6.0的主机配置文件修复群集。6将您的vCenterServer升级到版本6.7。vCenterServer配置无更改。7将群集中的所有ESXi主机升级到版本6.7。编辑主机自定义和主机配置文件编辑操作不可用，请参见KB2150534。合规性检查、附加主机配置文件和修复主机操作可用。8根据具有版本6.0的主机配置文件修复群集中的ESXi主机。将应用所有主机配置文件设置。9从ESXi6.7主机提取新的主机配置文件。主机配置文件策略中有一些参数发生了变动。有关详细信息，请参见应答文件字段和主机配置文件提取。10将版本为6.7的主机配置文件附加到群集。主机自定义数据将自动填充。所有主机配置文件操作均可用。环境中仅包含有状态ESXi6.0主机如果群集中包含有状态ESXi6.0主机，可以使用现有工作流解决将vCenterServer版本6.0升级到6.7版本时出现的版本合规性错误。建议将主机配置文件升级到与vCenterServer相同的版本。《vSphere主机配置文件》VMware,Inc.保留所有权利。26前提条件n群集中包含ESXi6.0主机。n具有版本6.0的主机配置文件附加到群集。n您的vCenterServer具有版本6.0。步骤1将您的vCenterServer升级到版本6.7。vCenterServer配置无更改。2将群集中的所有ESXi主机升级到版本6.7。编辑主机自定义和主机配置文件编辑操作不可用，请参见KB2150534。合规性检查、附加主机配置文件和修复主机操作可用。3（可选）将一台ESXi主机保留为版本6.0，以使用当前的主机配置文件版本6.0。4根据具有版本6.0的主机配置文件修复群集中的ESXi主机。将应用所有主机配置文件设置。5（可选）跳过接下来的步骤，以使用当前的主机配置文件版本6.0。6从ESXi6.7主机提取新的主机配置文件。主机配置文件策略中有一些参数发生了变动。有关详细信息，请参见应答文件字段和主机配置文件提取。7将版本为6.7的主机配置文件附加到群集。主机自定义数据将自动填充。所有主机配置文件操作均可用。在包含版本为6.5或更低版本的有状态ESXi主机的环境中将vCenterServer从6.5升级到6.7将版本为6.5的vCenterServer升级到版本6.7时，可以使用升级工作流来解决版本合规性错误。环境中包含有状态ESXi5.5、6.0和6.5主机如果群集中包含有状态ESXi5.5、ESXi6.0和ESXi6.5主机，可以使用现有工作流解决将vCenterServer版本6.5升级到6.7版本时出现的版本合规性错误。前提条件n群集中包含ESXi5.5、6.0和ESXi6.5主机。n具有版本5.5的主机配置文件附加到群集。n您的vCenterServer具有版本6.5。《vSphere主机配置文件》VMware,Inc.保留所有权利。27步骤1将群集中的所有ESXi5.5主机升级到版本6.0或6.5。将主机升级到ESXi6.0时，升级前在ESXi主机中配置的ActiveDirectory设置将不保留。主机不会再加入域。升级后，必须将主机重新加入到ActiveDirectory域。2（可选）如果遇到“objectNotFound”错误：a右键单击主机，然后断开其连接。b将主机重新连接到vCenterServer并将主机加入到ActiveDirectory域。3将版本为vCenterServer的主机配置文件与群集分离。4从ESXi6.0主机提取一个新的主机配置文件并将其附加到群集。5删除版本为5.5的主机配置文件。6将您的vCenterServer升级到版本6.7。vCenterServer配置无更改。7将群集中的所有ESXi主机升级到版本6.7。编辑主机自定义和主机配置文件编辑操作不可用，请参见KB2150534。合规性检查、附加主机配置文件和修复主机操作可用。8根据具有版本6.0的主机配置文件修复群集中的ESXi主机。将应用所有主机配置文件设置。9从ESXi6.7主机提取新的主机配置文件。主机配置文件策略中有一些参数发生了变动。有关详细信息，请参见应答文件字段和主机配置文件提取。10将版本为6.7的主机配置文件附加到群集。主机自定义数据将自动填充。所有主机配置文件操作均可用。环境中仅包含有状态ESXi6.5主机如果群集中包含有状态ESXi6.5主机，可以使用现有工作流解决将vCenterServer版本6.5升级到6.7版本时出现的版本合规性错误。建议将主机配置文件升级到与vCenterServer相同的版本。前提条件n群集中包含ESXi6.5主机。n具有版本6.5的主机配置文件附加到群集。n您的vCenterServer具有版本6.5。《vSphere主机配置文件》VMware,Inc.保留所有权利。28步骤1将您的vCenterServer升级到版本6.7。vCenterServer配置无更改。2将群集中的所有ESXi主机升级到版本6.7。编辑主机自定义和主机配置文件编辑操作不可用，请参见KB2150534。合规性检查、附加主机配置文件和修复主机操作可用。3（可选）将一台ESXi主机保留为版本6.5，以使用当前的主机配置文件版本6.5。4根据版本为6.5的主机配置文件修复ESXi主机。需要重新引导所有经过修复的主机。5重新引导所有ESXi主机。6（可选）跳过接下来的步骤，以使用当前的主机配置文件版本6.5。7从ESXi6.7主机提取新的主机配置文件。主机配置文件策略中有一些参数发生了变动。有关详细信息，请参见应答文件字段和主机配置文件提取。8将版本为6.7的主机配置文件附加到群集。主机自定义数据将自动填充。所有主机配置文件操作均可用。vCenterServer在仅具有无状态ESXi6.0主机的环境中从6.0升级到6.7如果群集中包含无状态ESXi6.0主机，可以使用现有工作流解决将vCenterServer版本6.0升级到6.7版本时出现的版本合规性错误。建议将主机配置文件升级到与vCenterServer相同的版本。前提条件n群集中包含ESXi6.0主机。n具有版本6.0的主机配置文件附加到群集。n您的vCenterServer具有版本6.0。步骤1从ESXi6.0主机创建主机配置文件。2将主机配置文件应用到群集。3将您的vCenterServer升级到版本6.7。vCenterServer配置无更改。4使用映像配置文件版本6.7创建新规则，然后选择群集。《vSphere主机配置文件》VMware,Inc.保留所有权利。295激活规则。6引导群集中的所有ESXi主机。所有主机都符合主机配置文件。修复和检查合规性操作均可用，但无法编辑版本6.0的主机配置文件。注跳过接下来的步骤，以使用当前的主机配置文件版本6.0。主机使用新规则进行引导，并应用新的主机配置文件。7（可选）从ESXi6.7主机提取新的主机配置文件。主机配置文件策略中有一些参数发生了变动。有关详细信息，请参见应答文件字段和主机配置文件提取。8（可选）将版本为6.7的主机配置文件附加到群集。主机自定义数据将自动填充。所有主机配置文件操作均可用。vCenterServer在仅具有无状态ESXi6.5主机的环境中从6.5升级到6.7如果群集中包含无状态ESXi6.5主机，可以使用现有工作流解决将vCenterServer版本6.5升级到6.7版本时出现的版本合规性错误。建议将主机配置文件升级到与vCenterServer相同的版本。前提条件n群集中包含ESXi6.5主机。n具有版本6.5的主机配置文件附加到群集。n您的vCenterServer具有版本6.5。步骤1将您的vCenterServer升级到版本6.7。vCenterServer配置无更改。2使用映像配置文件版本6.7创建新规则或编辑现有规则，然后选择群集。3单击修复主机关联，修复所有ESXi主机。4重新引导群集中的所有ESXi主机。修复和检查合规性操作均可用，但无法编辑版本6.5的主机配置文件。注跳过接下来的步骤，以使用当前的主机配置文件版本6.5。所有主机都符合主机配置文件。《vSphere主机配置文件》VMware,Inc.保留所有权利。305（可选）从ESXi6.7主机提取新的主机配置文件。主机配置文件策略中有一些参数发生了变动。有关详细信息，请参见应答文件字段和主机配置文件提取。6（可选）将版本为6.7的主机配置文件附加到群集。主机自定义数据将自动填充。所有主机配置文件操作均可用。应答文件字段和主机配置文件提取当从主机提取新的配置文件时（或升级后），主机配置文件策略选项和主机自定义值会发生更改。通过参考“应答文件字段和主机配置文件提取”表，可以更加熟悉这些更改。从ESXi主机提取新的主机配置文件后，某些策略选项的值会发生更改。要保持这些值不变，必须在提取主机配置文件之前手动保存这项值。应答文件字段和主机配置文件提取表列出了值已更改的策略选项以及在新提取的主机配置文件中值保持不变的选项。要找到策略选项，请导航到主机配置文件主视图，右键单击提取的主机配置文件，然后选择编辑主机自定义。表4‑2.应答文件字段和主机配置文件提取策略选项路径策略选项策略选项值在新提取的配置文件中的变化安全和服务->安全设置->安全UserInputPasswordConfigOption对于默认用户，它会保持密码不变(root)。对于非默认用户，它会始终提取用户输入