VMware : esx.problem.hyperthreading.unmitigated

      Reacties uitgeschakeld voor VMware : esx.problem.hyperthreading.unmitigated

Wanneer je VMware patched met updates uit VMSA-2018-0020 kan het zijn dat je na het rebooten van de ESX Host de ESX warning esx.problem.hyperthreading.unmitigated krijgt.

esx hyperthreading mitigation 01

Deze melding krijg je omdat er in update CVE-2018-3646 een notificatie ingebouwd is om de remediation status van de “L1 Terminal Fault” (L1TF – VMM) vulnerability weer te geven.
Over deze vulnerability is hier meer te vinden.

Om deze melding te laten verdwijnen zijn een paar simpele stappen nodig.

In de vSphere Web Client ga je eerst naar de betreffende ESX Host, vervolgens naar Settings.
Dan in het menu ga je naar Advanced System Settings

esx hyperthreading mitigation 02

Druk dan bij de advanced settings op het knopje Edit en zoek dan de volgende parameter op :

VMkernel.Boot.hyperthreadingMitigation

Het vinkje zal uit staan bij Enabled.
Zet het vinkje aan en sla dan de wijziging op.

esx hyperthreading mitigation 03

Reboot de ESX Host en de melding zal dan verdwenen zijn.

Deze wijziging heeft wel een aantal gevolgen dan wel problemen :

  • VM’s met een hoger aantal vCPU’s dan het aantal fysieke cores zullen niet meer gestart kunnen worden, vMotion/Migrate zal ook niet werken.
  • Problemen met VM’s met een custom affinity of NUMA instellingen
  • VM’s met een latency gevoelige configuratie
  • ESXi hosts met een gemiddelde CPU load groter dan 70%
  • Hosts met niet standaard CPU resource management ingeschakeld
  • HA Clusters waar een rolling upgrade zal zorgen voor een toename van CPU load van boven 100%

De ESX Host gaat dus niet meer “verzachtend” om met de vCPU’s zodat er dus ook geen misbruik meer van gemaakt kan worden.
Je kunt de aanpassing ook niet doen waardoor je dus de melding blijft houden, maar malicious VM’s kunnen daar dan misbruik van gaan maken.
Lees voordat je de wijziging doet de volledige beschrijving van het document !