要提高 ESXi 主机的安全性,可以将其置于锁定模式。在锁定模式下,默认情况下,操作必须通过 vCenter Server 执行。

正常锁定模式

在正常锁定模式下,DCUI 服务保持活动状态。如果失去了与 vCenter Server 系统的连接且无法通过 vSphere Web Client 进行访问,则特权帐户可以登录到 ESXi 主机的直接控制台界面并退出锁定模式。只有以下帐户可以访问直接控制台用户界面:

  • 锁定模式下“例外用户”列表中对主机具有管理员特权的帐户。“例外用户”列表专为执行特殊任务的服务帐户提供。将 ESXi 管理员添加到此列表违背了锁定模式的初衷。

  • 在主机的 DCUI.Access 高级选项中定义的用户。此选项用于在与 vCenter Server 的连接断开时紧急访问直接控制台界面。这些用户不需要拥有对主机的管理特权。

锁定模式及 ESXi Shell 和 SSH 服务

严格锁定模式会停止 DCUI 服务。但是,ESXi Shell 和 SSH 服务不受锁定模式影响。要使锁定模式成为有效的安全措施,请确保 ESXi Shell 和 SSH 服务也处于禁用状态。默认情况下,这些服务处于禁用状态。

在主机处于锁定模式下时,如果“例外用户”列表中的用户拥有对主机的管理员角色,则可以从 ESXi Shell 或通过 SSH 访问主机。即使在严格锁定模式下也可以进行此访问。ESXi Shell 服务和 SSH 服务保持禁用状态是最安全的选项。

注:

“例外用户”列表针对用于执行特定任务(例如主机备份)的服务帐户提供,而非针对管理员提供。将管理员用户添加到“例外用户”列表违背了锁定模式的初衷。