Modo de bloqueio

Para aumentar a segurança dos seus hosts do ESXi, você pode colocá-los no modo de bloqueio. No modo de bloqueio, as operações devem ser realizadas por meio de vCenter Server por padrão.

Modo de bloqueio normal e modo de bloqueio rígido

Com o vSphere 6.0 e versões posteriores, você pode selecionar o modo de bloqueio normal ou o modo de bloqueio estrito.

Modo de bloqueio normal

No modo de bloqueio normal, o serviço DCUI permanece ativo. Se a conexão com o sistema do vCenter Server for perdida e o acesso por meio do vSphere Client não estiver disponível, as contas privilegiadas poderão fazer login na interface direta do console do ESXi host e sair do modo de bloqueio. Somente as seguintes contas podem acessar a interface de usuário do console direto:

Contas na lista de usuários de exceção para o modo de bloqueio que têm privilégios administrativos no host. A lista Usuários de exceção é destinada a contas de serviço que executam tarefas específicas. Adicionar ESXi administradores a essa lista anula a finalidade do modo de bloqueio.
Usuários definidos na opção avançada DCUI.Access para o host. Essa opção é para acesso de emergência à interface direta do console no caso de a conexão com vCenter Server ser perdida. Esses usuários não exigem privilégios administrativos no host.

Modo de bloqueio estrito

No modo de bloqueio estrito, o serviço DCUI é interrompido. Se a conexão com vCenter Server for perdida e o vSphere Client não estiver mais disponível, o host ESXi se tornará indisponível, a menos que os serviços de ESXi Shell e SSH estejam ativados e os Usuários de exceção estejam definidos. Se você não puder restaurar a conexão com o sistema do vCenter Server, deverá reinstalar o host.

Modo de bloqueio e os serviços ESXi Shell e SSH

O modo de bloqueio estrito interrompe o serviço DCUI. No entanto, os serviços ESXi Shell e SSH são independentes do modo de bloqueio. Para que o modo de bloqueio seja uma medida de segurança eficaz, certifique-se de que os serviços ESXi Shell e SSH também estejam desativados. Esses serviços estão desabilitados por padrão.

Quando um host está no modo de bloqueio, os usuários na lista de usuários de exceção podem acessar o host do ESXi Shell e por meio do SSH se eles tiverem a função de administrador no host. Esse acesso é possível mesmo no modo de bloqueio estrito. Deixar o serviço ESXi Shell e o serviço SSH desativados é a opção mais segura.

Observação: A lista de usuários de exceção destina-se a contas de serviço que executam tarefas específicas, como backups de host, e não para administradores. Adicionar usuários administradores à lista de usuários de exceção anula a finalidade do modo de bloqueio.