VMware reagiert auf ‘L1 Terminal Fault – VMM”
Nach der Installation von Patches erscheint im vCenter die Meldung:
XXX esx.problem.hyperthreading.unmitigated.formatonhost not found XXX
Die ESXi Patches welche mit VMware Security Advisory VMSA-2018-0020 veröffentlicht wurden zielen auf eine Schwachstelle, die L1TF genannt wurde. Da es bei der Umgehung des Problems zu Leistungseinbußen im CPU Bereich kommen kann, wird dieser Patch nicht automatisch scharf geschaltet. Der Administrator muss im Einzelfall entscheiden, ob er mehr Wert auf Sicherheit, oder Leistung legt.
Die Warnung kann unterdrückt werden.
Wer sich für Leistung entscheidet, kann die Warnung unterdrücken. Dazu setzt man in den erweiterten Einstellungen den Parameter UserVars.SuppressHyperthreadWarning von 0 auf 1. Dies sollte jedoch erst nach genauem Studium des Knowledgebase Artikels KB55806 und den damit zusammenhängenden Artikeln entschieden und umgesetzt werden.
Patch aktivieren
Zur Aktivierung des Patches verbindet man sich mit dem vCenter über Web-Client oder vSphere-Client und wechselt in die Ansicht “Hosts und Cluster”.
ESXi markieren und zum Tab “Manage” (vSphere 5.5/6.0), bzw. “Configure” (vSphere 6.5/6.7) wechseln. Darunter den untergeordneten Tab “Settings” auswählen.
Über “System” zu “Advanced System Settings” wechseln und in der Filterbox nach dem Parameter VMkernel.Boot.hyperthreadingMitigation suchen. Den Wert über “Edit” bzw. das Bleistift Icon anpassen und von false (default) auf true setzen und mit OK bestätigen.
Damit die Einstellungen wirksam werden, muss der Host neu gestartet werden.
PowerCLI
Bei mehreren Hosts empfiehlt sich der Einsatz von PowerCLI.
Connect-VIServer vc.mydomain.com
Aktuelle Werte ermitteln.
Get-VMHost | Get-AdvancedSetting -Name VMkernel.Boot.hyperthreadingMitigation | Select Entity, Name, Value
Werte setzen
Folgender Befehlt aktiviert das Feature auf allen Hosts ohne Rückfrage. (Vorsicht!)
Get-VMHost | Get-AdvancedSetting -Name VMkernel.Boot.hyperthreadingMitigation | Set-AdvancedSetting -Value 1 -Confirm:$false
Damit die Einstellungen wirksam werden, muss der Host neu gestartet werden.
Links
VMware KB 57374 – L1TF related “esx.problem.hyperthreading.unmitigated” vCenter Server Updates
VMware KB 55806 – L1 Terminal Fault – VMM